แจ้งเตือนช่องโหว่ระดับวิกฤติใน SIEM จาก IBM "QRadar"

นักวิจัยด้านความปลอดภัยอิสระ Pedro Ribeiro ได้ประกาศการค้นช่องโหว่ 3 ช่องโหว่ซึ่งเมื่อนำมาใช้งานร่วมกันแล้ว สามารถทำให้ผู้โจมตีทำการโจมตี IBM QRadar จากระยะไกลแล้วยังได้สิทธิ์สูงสุดในระบบได้

ช่องโหว่ทั้ง 3 ช่องโหว่นั้นถูกระบุรวมกันในรหัส CVE-2018-1418 โดยช่องโหว่แรกทำให้ผู้โจมตีสามารถข้ามผ่านการพิสูจน์ตัวตนของระบบได้ จากนั้นช่องโหว่ที่สองจะสามารถถูกใช้เพื่อทำการรันโค้ดที่เป็นอันตราย และสุดท้ายช่องโหว่ที่สามจะถูกใช้เพื่อยกระดับสิทธิ์

NIST ให้ความรุนแรงของ CVE-2018-1418 ที่คะแนน 9.8/10 โดยช่องโหว่นี้ส่งผลกระทบผลิตภัณฑ์ในรุ่น 7.3.0-7.3.1 Patch 2 และ 7.2.0-7.2.8 Patch 11 ผู้ใช้งานสามารถทำการอัปเกรดเป็นรุ่น 7.3.1 Patch 3 และ 7.2.8 Patch 12 เพื่อรับแพตช์ช่องโหว่ได้

ที่มา : securityweek

US-CERT แจ้งเตือนความเคลื่อนไหวของกลุ่มแฮกเกอร์จากเกาหลีเหนือ "Hidden Cobra" ล่าสุด พบ IOC ใหม่จากมัลแวร์เก่า

US-CERT ประกาศแจ้งเตือนล่าสุดรหัส TA18-149A หลังจากมีการตรวจพบความเคลื่อนไหวของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ "Hidden Cobra" ซึ่งมีความเกี่ยวข้องกับมัลแวร์ที่เคยมีการแพร่กระจายมาแล้วคือ "Joanap" และ "Brambul" ด้วย
มัลแวร์ Joanap ถูกระบุว่าเป็นมัลแวร์ที่จะถูกติดตั้งเมื่อผู้โจมตียึดครองระบบได้แล้ว โดยมีจุดประสงค์เพื่อสร้างการเชื่อมต่อแบบ peer-to-peer กับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมซึ่งทำให้ผู้โจมตีสามารถสร้างกองทัพของบ็อตเน็ตจากเซิร์ฟเวอร์ที่เคยยึดครองแล้วได้ ส่วนมัลแวร์ "Brambul" นั้นเป็นมัลแวร์ที่แพร่กระจายผ่านทางโปรโตคอล SMB (TCP/139, TCP/445) ด้วยวิธีการเดารหัสผ่าน เพื่อให้ผู้โจมตีสามารถควบคุมระบบจากระยะไกลได้

ไอ-ซีเคียวแนะนำให้ผู้ดูแลระบบทำการตรวจสอบตัวบ่งชี้ภัยคุกคามจากแหล่งที่มากับระบบภายในเพื่อค้นหาการมีอยู่ของมัลแวร์ดังกล่าว รวมถึงตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตที่จะเกิดขึ้นควบคู่กันไปด้วย

ที่มา : us-cert

สองธนาคารใหญ่ในแคนาดาถูกโจมตีทางไซเบอร์ ข้อมูลรั่วไหล/ถูกขู่เผยแพร่ข้อมูล

ธนาคาร Simplii Financial ซึ่งภายใต้เครือ CIBC และ Bank of Montrel สองธนาคารยักษ์ใหญ่ในแคนาดาได้ประกาศแจ้งเตือนหลังจากตรวจพบเหตุการณ์ด้านความปลอดภัยที่กระทบกับลูกค้าในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยมีรายละเอียดดังนี้
สำหรับกรณีของธนาคาร Simplii Financial นั้น ทางธนาคารได้มีการตรวจพบการเข้าถึงข้อมูลทางช่องทาอิเล็กทรอนิกส์ซึ่งข้อมูลดังกล่าวนั้นเป็นที่เกี่ยวข้องกับลูกค้าและบัญชีของธนาคารประมาณ 40,000 รายการ โดยในการตอบสนองเบื้องต้นนั้น ทางธนาคารได้ทำการเพิ่มการตรวจสอบการใช้งานข้อมูลในชุดข้อมูลที่ต้องสงสัยว่าจะถูกเข้าถึงดังกล่าวแล้วควบคู่ไปกับการตรวจสอบหาสาเหตุของการรั่วไหล อย่างไรก็ตามยังไม่มีรายงานว่าข้อมูล CIBC นั้นรั่วไหลด้วยหรือไม่

หลังจากนั้นเพียงไม่กี่ชั่วโมง Bank of Montreal ได้ประกาศการตรวจพบเหตุการณ์ด้านความปลอดภัยในลักษณะคล้ายคลึงกัน หลังจากที่ธนาคารได้รับการติดต่อจากผู้ประสงค์ร้ายซึ่งอ้างว่าได้เข้าถึงข้อมูลของลูกค้าประมาณ 50,000 รายการ และมีการขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวออกสู่สาธาณะ (ไม่มีข้อมูลเพิ่มเติมของเงื่อนไขในการต่อรองการข่มขู่นี้) โดยในเบื้องต้นทางธนาคารเชื่อว่าที่มาของการโจมตีน่าจะมาจากต่างประเทศ และจะดำเนินการค้นหาสาเหตุและที่มาของการโจมตีโดยละเอียดต่อไป

ที่มา : bleepingcomputer

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม

อ่านข้อมูลเกี่ยวกับภัยคุกคามเพิ่มเติมที่: https://www.