Google ออกแพตซ์แก้ไขข้อบกพร่องที่สำคัญบน Android

สัปดาห์ที่ผ่านมา Google ได้เปิดตัวชุดรักษาความปลอดภัยสำหรับ Android ประจำเดือนพฤศจิกายน เพื่อแก้ไขช่องโหว่ที่มีผลกระทบต่อแพลตฟอร์มเกือบ 40 ประกอบด้วยข้อบกพร่องทั้งหมด 17 รายการใน Framework, Library, Framework , Media framework และ System (2019-11-01) ช่องโหว่ที่รุนแรงที่สุดอยู่ในระดับ System ส่งผลให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายจากระยะไกลตามสิทธิ์ของโปรเซสที่ใช้รัน ประกอบด้วยช่องโหว่ใน Android 9 (CVE-2019-2204), Android 8.0, 8.1, 9 และ 10 (CVE-2019-2205 และ CVE-2019-2206)

ช่องโหว่อื่นๆ อีกประมาณ 21 รายการ (2019-11-05) ประกอบด้วยช่องโหว่ที่น่าสนใจ คือ ช่องโหว่ความรุนแรงสูงในระดับ Framework 2 รายการ, ช่องโหว่ความรุนแรงสูงในระดับ System 1 รายการ และช่องโหว่ความรุนแรงสูง 3 รายการและความรุนแรงปานกลางอีก 1 รายการในระดับ Kernel โดยได้แก้ไขช่องโหว่ที่พบในส่วนของ Qualcomm ที่พบมาก่อนหน้านี้ด้วย โดยช่องโหว่บน Pixel เองก็จะได้รับการแก้ไขในรอบนี้ด้วย

ที่มา: securityweek

 

รวมข่าว BlueKeep ระหว่างวันที่ 1 - 11 พฤศจิกายน 2019

BlueKeep คืออะไร

BlueKeep หรือช่องโหว่ CVE-2019-0708 เป็นช่องโหว่ที่สามารถรันคำสั่งอันตรายจากระยะไกลได้ พบใน Remote Desktop Services กระทบ Windows 7, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 และ Windows XP

ช่องโหว่นี้ได้รับแพตช์ความปลอดภัยแล้วเมื่อเดือนพฤษภาคม 2019 ที่ผ่านมา โดยช่องโหว่นี้มีคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

พบการโจมตีด้วยช่องโหว่ BlueKeep แล้ว

2 พฤศจิกายน 2019 Kevin Beaumont นักวิจัยผู้ตั้งชื่อเล่นให้ CVE-2019-0708 ว่า BlueKeep เปิดเผยการค้นพบการโจมตีด้วยช่องโหว่ BlueKeep บน honeypot ที่เขาเปิดล่อเอาไว้ทั่วโลกตั้งแต่เดือนพฤษภาคม 2019 ซึ่งการโจมตีครั้งนี้ทำให้เหล่า honeypot เกิดจอฟ้า

จากการวิเคราะห์ crash dump ที่ได้จากเหล่า honeypot พบว่าการโจมตีดังกล่าวยังไม่ได้แพร่โดยเวิร์ม แต่เกิดจากการใช้ Metasploit พยายามรันคำสั่งอันตรายเพื่อติดตั้งมัลแวร์ขุดเหมือง เนื่องจากโมดูลสำหรับโจมตีด้วย BlueKeep ใน Metasploit ยังไม่ค่อยเสถียร เลยทำให้เกิดจอฟ้า

อ่านต่ออย่างละเอียด thehackernews

ไม่ใช่เวิร์มแต่ก็อันตรายนะ ไมโครซอฟต์ออกมาเตือนอีกรอบ

8 พฤศจิกายน 2019 ไมโครซอฟต์ออกรายงานวิเคราะห์การโจมตี BlueKeep ร่วมกับ Kevin Beaumont และ Marcus Hutchins ด้วยมัลแวร์ขุดเหมืองดังกล่าว พร้อมกับเตือนให้ผู้ใช้งานเร่งแพตช์ เพราะต้องมีการโจมตีที่รุนแรงกว่านี้ตามมาแน่นอน

อ่านต่ออย่างละเอียด https://www.

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

Network Solutions ถูกแฮกเกอร์เข้าถึงข้อมูลมากกว่า 22 ล้านบัญชี
Network Solutions หนึ่งในผู้จดทะเบียนโดเมนรายใหญ่ที่สุดในโลก พบการละเมิดข้อมูลที่มีผลต่อ 22 ล้านบัญชี ทั้งนี้ไม่มีการเข้าถึงข้อมูลทางการเงิน

ผู้โจมตีได้แฮกเซิร์ฟเวอร์จำนวนหนึ่งของระบบที่ยอมให้เข้าถึงขุมข้อมูลขนาดใหญ่ มีการประมาณการว่ากว่า 22 ล้านบัญชีตั้งแต่อดีตจนถึงปัจจุบันของ Network Solutions Register.

 

MS-ISAC ได้ปล่อยข้อมูลรายการซอฟต์แวร์ EOS

Multi-State Information Sharing and Analysis Center (MS-ISAC) ได้ปล่อยข้อมูลรายการซอฟต์แวร์ end-of-support (EOS) ซึ่งเป็นซอฟต์แวร์ที่กำลังจะสิ้นสุดการสนับสนุนและจะไม่ได้รับการอัปเดตความปลอดภัยจากผู้ให้บริการอีกต่อไป ดังนั้นจึงมีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ความปลอดภัย และซอฟต์แวร์ที่ไม่ได้รับการสนับสนุนอาจทำให้เกิดปัญหาซึ่งทำให้ประสิทธิภาพการทำงานลดลง

Cybersecurity and Infrastructure Security Agency (CISA) แจ้งไปยังผู้ใช้งานและผู้ดูแลระบบในการตรวจสอบ MS-ISAC ข้อมูลรายการ EOS : ตุลาคม 2019 https://www.

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

ข้อบกพร่องใหม่ใน PHP อาจทำให้แฮกเกอร์โจมตีเว็บไซต์ที่ทำงานบนเซิร์ฟเวอร์ Nginx
หากคุณใช้งานเว็บไซต์ที่ใช้ PHP บนเซิร์ฟเวอร์ NGINX และเปิดใช้งานฟีเจอร์ PHP-FPM เพื่อเพิ่มประสิทธิภาพที่ดีขึ้น ควรระวังช่องโหว่ใหม่ที่อาจทำให้ผู้โจมตีทำการแฮกเซิร์ฟเวอร์เว็บไซต์ของคุณจากระยะไกล
ช่องโหว่ CVE-2019-11043 มีผลกระทบต่อเว็บไซต์ที่มีการกำหนดค่าบางอย่างของ PHP-FPM
PHP-FPM เป็นอีกทางเลือกหนึ่งของการติดตั้ง PHP FastCGI ที่นำเสนอการประมวลผลขั้นสูงและมีประสิทธิภาพสูงสำหรับสคริปต์ที่เขียนด้วยภาษาการเขียนโปรแกรม PHP
ช่องโหว่หลักคือปัญหา "env_path_info" memory corruption (underflow) ในโมดูล PHP-FPM และการเชื่อมโยงกับปัญหาอื่น ๆ อาจทำให้ผู้โจมตีใช้ช่องโหว่รันโค้ดอันตรายจากระยะไกล (RCE) บนเว็บเซิร์ฟเวอร์ได้
ช่องโหว่ดังกล่าวถูกพบโดย Andrew Danau นักวิจัยด้านความปลอดภัยที่ Wallarm ในขณะที่ค้นหาข้อบกพร่องในการแข่งขัน Capture The Flag ซึ่งต่อมาได้รับความรู้จากนักวิจัยสองคนคือ Omar Ganiev และ Emil Lerner เพื่อพัฒนาการใช้ประโยชน์จากช่องโหว่ในการรันโค้ดอันตราย
แม้ว่า PoC exploit ที่ถูกปล่อยออกมาได้รับการออกแบบมาเพื่อเป้าหมายเฉพาะเซิร์ฟเวอร์ที่มีช่องโหว่ที่ใช้งาน PHP 7+ แต่ bug underflow ของ PHP-FPM ก็อาจส่งผลกระทบต่อ PHP เวอร์ชันก่อนหน้าด้วย ซึ่งจะมีความเสี่ยงต่อการโจมตีถ้าตรงกับเงื่อนไขดังต่อไปนี้
- NGINX ได้รับการกำหนดค่าให้ส่งต่อคำขอ PHP ไปยังตัวประมวลผล PHP-FPM
- คำสั่ง fastcgi_split_path_info มีอยู่ในการกำหนดค่าและรวมถึง regular expression ที่เริ่มต้นด้วยสัญลักษณ์ '^' และลงท้ายด้วยสัญลักษณ์ '$'
- ตัวแปร PATH_INFO ถูกกำหนดด้วยคำสั่ง fastcgi_param
-ไม่มีการตรวจสอบเช่น try_files $ uri = 404 หรือถ้า (-f $ uri) เพื่อตรวจสอบว่ามีไฟล์อยู่หรือไม่
หนึ่งในผู้ให้บริการเว็บโฮสติ้งที่ได้รับผลกระทบคือ Nextcloud ผู้ออกคำแนะนำเตือนผู้ใช้ว่า "การกำหนดค่าเริ่มต้น Nextcloud NGINX นั้นยังเสี่ยงต่อการถูกโจมตีครั้งนี้ และแนะนำผู้ดูแลระบบให้ดำเนินการทันที
ผู้ใช้ควรทำการอัพเดท PHP เป็น PHP 7.3.11 และ PHP 7.2.24 ล่าสุดเพื่อป้องกันการโจมตี

ที่มา thehackernews

บริษัทซอฟท์แวร์คอมพิวเตอร์ของสหรัฐอเมริกาชื่อ Adobe ประสบปัญหาด้านการรักษาความปลอดภัยอย่างรุนแรงเมื่อช่วงต้นเดือนที่ผ่านมา ซึ่งมีการเปิดเผยข้อมูลของผู้ใช้งาน จากบริการ Creative Cloud ที่เป็นนิยมในตอนนี้ ด้วยจำนวนสมาชิกที่ใช้บริการประมาณ 15 ล้านคน

Adobe Creative Cloud หรือ Adobe CC เป็นการบริการให้สมาชิกสามารถใช้งานซอฟต์แวร์ของ Adobe ได้โดยการเช่า เช่น Photoshop, Illustrator, Premiere Pro, InDesign, Lightroom และอีกมากมาย

เมื่อต้นเดือนนี้ Bob Diachenko นักวิจัยด้านความปลอดภัยได้ร่วมมือกับบริษัทด้านความปลอดภัยทางไซเบอร์ Comparitech ค้นพบฐานข้อมูล Elasticsearch ที่ไม่มีการตั้งรหัสผ่านของบริการ Adobe Creative Cloud ที่ทุกคนสามารถเข้าถึงได้โดยไม่ต้องใช้รหัสผ่านหรือผ่านการตรวจสอบ

ข้อมูลที่เปิดเผยจากฐานข้อมูลซึ่งขณะนี้มีข้อมูลส่วนตัวของบัญชีผู้ใช้งาน Adobe Creative Cloud อยู่เกือบ 7.5 ล้านบัญชี ข้อมูลที่ถูกเปิดเผยจากบริการ Creative Cloud ได้แก่ ที่อยู่อีเมล วันที่สมัครสมาชิก ผลิตภัณฑ์ Adobe ที่สมัครเป็นสมาชิก สถานะการสมัครสมาชิก สถานะการชำระเงิน รหัสสมาชิก ประเทศ เวลาการเข้าสู่ระบบล่าสุด และสมาชิกดังกล่าวเป็นพนักงานของ Adobe หรือไม่

ไม่มีข้อมูลทางการเงินรั่วไหล แต่จากข้อมูลที่รั่วไหลออกมา สามารถนำข้อมูลผู้ใช้งาน Adobe Creative Cloud ไปทำอีเมลฟิชชิงเพื่อหลอกลวงผู้ใช้งานได้ Comparitech กล่าวในบล็อกโพสต์" อาชญากรไซเบอร์อาจทำตัวเหมือน Adobe หรือ บริษัท ที่เกี่ยวข้องและหลอกให้ผู้ใช้เปิดเผยข้อมูลส่วนตัวเช่น รหัสผ่านส่วนตัว

Diachenko ที่ค้นพบฐานข้อมูลที่รั่วไหลแจ้งให้ Adobe ทราบทันทีในวันที่ 19 ตุลาคม

บริษัท Adobe ได้มีมาตรการการแก้ไขปัญหาด้านความปลอดภัยที่เกิดขึ้นอย่างรวดเร็วโดยปิดการเข้าถึงฐานข้อมูลที่เป็นสาธารณะในวันเดียวกัน ตามรายงานของบล็อกที่เผยแพร่โดย Adobe ในวันศุกร์

ปลายสัปดาห์ที่แล้ว Adobe ได้ตระหนักถึงความเสี่ยงที่เกี่ยวข้องกับการทำงานที่เกิดขึ้นจากข้อผิดพลาด ได้มีการปิดระบบที่ที่มีการทำงานที่ผิดพลาดโดยทันทีเพื่อแก้ไขปัญหาช่องโหว่ที่เกิดขึ้น

ปัญหานี้ไม่มีส่งผลกระทบต่อการทำงานของผลิตภัณฑ์หรือบริการหลักของ Adobe แต่อย่างใดแต่ทาง Adobe ได้มีการตรวจสอบกระบวนการพัฒนา เพื่อช่วยป้องกันปัญหาที่อาจจะเกิดขึ้นในอนาคต

สิ่งที่ผู้ใช้ควรทำ

ผู้ใช้ส่วนใหญ่ควรระวังอีเมลที่เป็นฟิชชิ่ง ซึ่งจะเป็นขั้นตอนต่อไปที่อาชญากรไซเบอร์ทำหลังจากได้ข้อมูลข้องผู้ใช้งาน เพื่อหลอกเอาข้อมูลส่วนตัวเช่นรหัสผ่านและข้อมูลทางการเงิน

แม้ว่าฐานข้อมูลจะไม่เปิดเผยข้อมูลทางการเงินใดๆ แต่ก็เป็นความคิดที่ดีที่ผู้ใช้งานควรจะระมัดระวังและคอยสังเกตการณ์ธนาคารของคุณและใบแจ้งยอดการชำระเงินการทำกิจกรรมทางการเงิน หากพบสิ่งที่ผิดปกติควรรีบแจ้งไปยังธนาคารทันที

Adobe ได้แนะนำให้ผู้ใช้งานเปิดการใช้งาน two-factor authentication เพื่อช่วยรักษาข้อมูลของผู้ใช้งานให้มีความปลอดภัยมากยิ่งขึ้น

ที่มา thehackernews