Google เปิดตัว Chrome เวอร์ชัน 66.0.3359.170 สำหรับ Windows, Mac และ Linux โดยเวอร์ชั่นนี้มีการแก้ไขช่องโหว่ที่ผู้โจมตีสามารถโจมตีได้จากระยะไกลเพื่อเข้าควบคุมเครื่อง ช่องโหว่ที่แก้ไขอยู่ในระดับ Critical,High
Critical: Chain leading to sandbox escape.
Two-Factor Authentication(2FA) เป็นมาตรฐานความปลอดภัยในการเข้าสู่ระบบที่กำลังถูกใช้อย่างแพร่หลายไปทั่วโลก แต่ผู้โจมตีกำลังหาวิธีหลีกเลี่ยง เพื่อเข้าถึงบัญชีเป้าหมายด้วยการใช้ Phishing และมีเครื่องมือชื่อว่า "Evilginx" ถูกพัฒนาขึ้นมาโดย white hacker ที่มีชื่อว่า Kuba Gretzky
เริ่มต้นด้วยการที่ผู้โจมตีสร้าง URL ที่เป็นอันตราย ซึ่งออกแบบมาให้ดูคล้ายกับเว็บไซต์ที่ผู้คนส่วนใหญ่รู้จัก โดยการสาธิตเริ่มจากเปิดอีเมลปลอมที่คล้ายๆว่ามาจาก LinkedIn แต่ที่จริงมันคือ "llnked[dot]com" เมื่อเหยื่อคลิกลิงก์ดังกล่าวจะถูก redirect ไปยังหน้าเข้าสู่ระบบเพื่อหลอกให้ป้อนชื่อผู้ใช้, รหัสผ่าน และรหัสการตรวจสอบสิทธิ์ที่จะถูกส่งไปยังโทรศัพท์มือถือของเจ้าของบัญชี ในขณะเดียวกันผู้โจมตีจะมีการเก็บชื่อผู้ใช้ รหัสผ่าน และรหัส 6-Digit ที่กรอก รวมถึง Session Cookie ที่เกิดขึ้น
แม้ว่ารหัส 2FA ที่เหยื่อกรอก จะไม่สามารถถูกนำมาใช้ซ้ำได้ แต่สิ่งที่ผู้โจมตีต้องการคือ Session Cookie โดย Cookie ดังกล่าวจะถูกป้อนผ่าน Developer Tools บนเว็บไซต์จริง แล้วกด Refresh แค่นั้นเอง ก็สามารถเข้าถึงบัญชีผู้ใช้ของเหยื่อได้แล้ว
รายละเอียดเครื่องมือ: https://breakdev.
เมื่อช่วงต้นสัปดาห์ที่แล้ว นักวิจัยด้านความปลอดภัยได้เผยแพร่รายละเอียดของช่องโหว่บนเราเตอร์จำนวนสองช่องโหว่ผ่านบล็อกของ VPNMentor ช่องโหว่ดังกล่าวมีผลกระทบต่อเราเตอร์ GPON-capable มากกว่า 1 ล้านเครื่องที่ผลิตโดยบริษัทสัญชาติเกาหลีใต้ชื่อว่า Dasan และพบว่ากำลังถูกโจมตีผ่าน botnet
ช่องโหว่แรกทำให้ผู้โจมตีสามารถหลีกเลี่ยงกลไกการพิสูจน์ตัวตนเพียงแค่ใส่สตริง "?images" ต่อท้าย URL บนหน้าเว็บของอุปกรณ์ (CVE-2018-10561) เพื่อเข้าถึงการตั้งค่าของอุปกรณ์เราเตอร์ได้ และอีกหนึ่งช่องโหว่ทำให้ผู้โจมตีสามารถฝังโค้ดที่เป็นอันตรายจากระยะไกลลงบนอุปกรณ์ (CVE-2018-10562)
นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวส่งผลกระทบกับเราเตอร์ที่ใช้งานออนไลน์กว่าหนึ่งล้านเครื่อง ส่วนใหญ่ตั้งอยู่ในเขตขนาดใหญ่ในเม็กซิโก, คาซัคสถาน และเวียดนาม
ที่มา : Bleepingcomputer
ทวิตเตอร์ประกาศแจ้งเตือนผู้ใช้งานกว่า 300 ล้านคนวันนี้ให้ดำเนินการเปลี่ยนรหัสของบัญชีผู้ใช้งานหลังจากมีการค้นพบการรั่วไหลของรหัสผ่านภายในระบบภายในเอง
ที่มาของการรั่วไหลของรหัสผ่านดังกล่าวนั้นเกิดขึ้นจากการที่ระบบ logging หรือระบบบันทึกการทำงานของแอปพลิเคชันนั้นมีการบันทึกและแสดงรหัสผ่านที่ผู้ใช้งานส่งเข้ามายังระบบก่อนที่จะถูกนำไปผ่านกระบวนการป้องกันและเข้าสู่ฐานข้อมูล ทำให้รหัสผ่านมีโอกาสที่รั่วไหลในสภาพที่ยังไม่มีการป้องกันได้
ทวิตเตอร์ค้นพบปัญหานี้ด้วยตนเอง และได้นำฟังก์ชันการทำงานที่มีปัญหานั้นออกแล้ว
Recommendation แม้ว่าจะการรั่วไหลของข้อมูลจะอยู่ในขอบเขตที่จำกัด แต่ทวิตเตอร์ก็แนะนำให้ผู้ใช้งานทุกคนทำการเปลี่ยนรหัสผ่านของบัญชีทวิตเตอร์รวมไปถึงตั้งค่าความปลอดภัยเพิ่มเติมโดยการเปิดใช้งานฟีเจอร์ Two Factor Authentication ควบคู่ไปด้วยเพื่อความปลอดภัยสูงสุด
ที่มา : Blog.
นักวิจัยด้านความปลอดภัย Wolfgang Ettlinger จาก SEC Consult Vulnerability Lab ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ล่าสุดรหัส CVE-2018-2879 ในซอฟต์แวร์ Oracle Access Manager (OAM) ซึ่งทำให้ผู้โจมตีสามารถข้ามผ่านระบบการตรวจสอบตัวตน รวมไปถึงยึดบัญชีของผู้ใช้งานอื่นๆ ได้
Oracle Access Manager (OAM) เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์
สำหรับช่องโหว่ที่มีการค้นพบนั้น ที่มาที่แท้จริงของช่องโหว่มาจากปัญหาในการทำ Padding อย่างไม่เหมาะสมเมื่อมีการเข้ารหัสข้อมูลซึ่งนำไปสู่การโจมตีที่เรียกว่า Padding Oracle ได้ การทำ Padding Oracle จะทำให้กระบวกการเข้ารหัสที่มีอยู่นั้นอ่อนแอลง และนำไปสู่การเข้าถึงและแก้ไขข้อมูลที่ความอ่อนไหวสูงได้
Recommendation ช่องโหว่ดังกล่าวถูกค้นพบใน OAM รุ่น 11.1.2.3.0 และ 12.2.1.3.0 รวมไปถึงเวอร์ชันก่อนหน้าทั้งหมด ในขณะนี้ Oracle ได้มีการประกาศแพตช์สำหรับช่องโหว่นี้ออกมาแล้วในซอฟต์แวร์รุ่นล่าสุด แนะนำให้ผู้ดูแลระบบทำการอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยด่วน
ที่มา : Theregister
ธนาคารสัญชาติสหรัฐฯ SunTrust ได้เปิดเผยความร่วมมือกับหน่วยงานทางด้านกฎหมายหลังจากค้นพบว่าอดีตพนักงานของธนาคารนั้นได้มีการขโมยข้อมูลของลูกค้ากว่า 1.5 รายการออกไปจากระบบของธนาคาร อีกทั้งอาจมีการแชร์ข้อมูลดังกล่าวกับอาชญากรอีกด้วย
ข้อมูลที่ถูกนำออกไปไหนประกอบไปด้วยชื่อของลูกค้า, ที่อยู่, หมายเลขโทรศัพท์และจำนวนเงินคงเหลือในบางบัญชี SunTrust ยืนยันว่าข้อมูลดังกล่าวนั้นไม่มีส่วนที่เป็นข้อมูลความลับ อาทิ รหัสผ่าน, หมายเลขรหัสประจำสังคม, หมายเลขบัญชีและข้อมูลในลักษณะอื่นๆ ออกไปด้วย
ในขณะนี้ยังไม่มีรายละเอียดจากธนาคารว่าผู้ประสงค์ร้ายซึ่งเป็นอดีตพนักงานนั้นนำข้อมูลออกไปได้อย่างไร ในขณะนี้ทางธนาคารได้ประกาศและแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระทบแล้ว พร้อมทั้งมีการเปิดให้ใช้บริการปกป้องและตรวจสอบการใช้งานเครดิตเพื่อตรวจสอบการใช้ข้อมูลที่ไม่พึงประสงค์ด้วย
ที่มา : scmagazine
พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที
ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494
หากใครงาน SAMBA อยู่แนะนำให้รีบ update ด่วนครับ
ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14
ที่มา: samba.
ค้นพบบั๊กร้ายแรงบน sudo ใน Linux ที่เปิดให้ผู้ที่มี Shell Account สามารถเข้ามายกระดับสิทธิ์ของตนเองเป็น Root ได้
ช่องโหว่ดังกล่าวเกิดจากปัญหาในการ Parse เนื้อหาในคำสั่ง sudo ที่ผิดพลาด ทำให้ผู้โจมตีในระบบ Linux ที่มีการตั้งค่าไว้ในบางรูปแบบสามารถใช้ปัญหานี้ในการ Overwrite ไฟล์ใดๆ บนระบบ, Bypass การจำกัดสิทธิ์ต่างๆ ไปจนถึงการยกระดับสิทธิ์ตัวเองเป็น Root ได้
โดยปัญหานี้เกิดขึ้นกับ Linux จำนวนมาก และส่งผลกระทบไปถึง Linux ที่ใช้ SELinux ด้วย ซึ่งรายการของ Linux ที่ได้รับผลกระทบมีดังนี้
Red Hat Enterprise Linux 6 (sudo)
Red Hat Enterprise Linux 7 (sudo)
Red Hat Enterprise Linux Server (v. 5 ELS) (sudo)
Debian wheezy
Debian jessie
Debian stretch
Debian sid
Ubuntu 17.04
Ubuntu 16.10
Ubuntu 16.04 LTS
Ubuntu 14.04 LTS
SUSE Linux Enterprise Software Development Kit 12-SP2
SUSE Linux Enterprise Server for Raspberry Pi 12-SP2
SUSE Linux Enterprise Server 12-SP2
SUSE Linux Enterprise Desktop 12-SP2
OpenSuse
สำหรับคำแนะนำเพื่อแก้ปัญหานี้คือการอัปเดต Patch ดังนี้
Debian/Ubuntu ใช้ sudo apt update และ sudo apt upgrade
CentOS/RHEL ใช้ sudo yum update
Fedora ใช้ sudo dnf update
SUSE ใช้ sudo zypper update
Arch Linux ใช้ sudo pacman -Syu
Alpine ใช้ apk update && apk upgrade
ที่มา : TECHTALKTHAI , cyberciti
Anand Prakash ชาวอินเดียพบช่องโหว่ Insecure Direct Object References จำนวน 4 ช่องโหว่ที่พารามิเตอร์ owner_id บนเว็บไซต์ studio.twitter.
Zomato เว็บไซต์สำหรับการแนะนำร้านอาหารชื่อดังในอินเดีย ถูกแฮกข้อมูลของผู้ใช้งาน เช่น ชื่อผู้ใช้, อีเมล์ รหัสผ่านของลูกค้ากว่า 17 ล้านบัญชีนั้น ถูกขโมยออกไป Deepinder Goyal, CEO ของ Zomato
ได้ออกมาอธิบายว่าเกิดอะไรขึ้นว่า
- เริ่มต้นจากเหตุการณ์ที่ 000webhost ซึ่งเป็นเว็บโฮสติ้งฟรี ถูกแฮกเมื่อเดือนพฤศจิกายนปี 2015 ทำให้ข้อมูลผู้ใช้ และรหัสผ่านรั่วไหลออกมา โดยมีรหัสผ่านเป็น plaintext (ไม่มีการเข้ารหัส)
- หนึ่งในนักพัฒนาของ Zomato มีการใช้งาน 000webhost เช่นกันทำให้ข้อมูลของเขารั่วไหลออกไป
- นักพัฒนารายนั้นใช้อีเมล์ และรหัสผ่านเดียวกันกับบัญชีของ Github ที่ใช้เก็บโค้ดของ Zomato และไม่ได้เปิดใช้งาน 2 factor authentication
- ทำให้แฮกเกอร์สามารถ Login เข้าสู่ระบบ Github ของนักพัฒนานั้นได้และทำการรีวิวซอสโค้ดบางส่วนของ Zomato ได้
- จากจุดนี้แฮกเกอร์ยังไม่สามารถเข้าถึงฐานข้อมูลของ Zomato เนื่องจากระบบได้ทำการจำกัดไอพีที่สามารถเข้าถึงระบบต่างๆ ไว้
- แฮกเกอร์จึงทำการสแกนหาช่องโหว่จากโค้ดที่สามารถเข้าถึงได้ และพบกับช่องโหว่ Remote Code Execution ที่ทำให้แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้ในภายหลัง
จากเหตุการณ์ข้างต้นเป็นตัวอย่างที่ผู้ใช้งานอินเตอร์เน็ต ไม่ควรที่จะใช้รหัสผ่านเดียวกันกับทุกเว็บไซต์หรือบริการอื่นๆ
และควรใช้โปรแกรมจำพวก Password Manager ในการจดจำรหัสผ่านเพื่อเพิ่มความปลอดภัย
ที่มา : Zomato,ZomatoHacked