Libarchive vulnerability can lead to code execution on Linux, FreeBSD, NetBSD

Libarchive ที่มีอยู่ใน Debian, Ubuntu, Gentoo, Arch Linux, FreeBSD และ NetBSD distros มีช่องโหว่ที่ทำให้แฮกเกอร์สามารถรันโค้ดบนเครื่องได้ แต่ไม่กระทบกับ macOS และ Windows

ช่องโหว่ใน LIBARCHIVE (CVE-2019-18408) ซึ่งเป็นไลบรารีสำหรับการอ่านและสร้างไฟล์บีบอัดที่ถูกใช้บน Linux / BSD อย่างแพร่หลาย ในสัปดาห์ที่ผ่านมามีการเปิดเผยรายละเอียดของช่องโหว่ดังกล่าวออกมา หลังจากที่ Linux และ FreeBSD distros หลายตัวได้ปล่อยการอัพเดตแพทช์สำหรับ Libarchive ที่ใช้งานอยู่

ช่องโหว่ส่งผลให้ผู้โจมตีสามารถรันโค้ดบนระบบของผู้ใช้ผ่านไฟล์บีบอัดที่มีการดัดแปลงมาแล้ว ถูกค้นพบตั้งแต่เดือนมิถุนายน แต่ใช้เวลาพอสมควรในการแก้ไขเพื่อปล่อยให้ระบบปฏิบัติการทั้งหมดทำการอัพเดตได้ นอกเหนือจากการเป็นช่องโหว่ในระบบปฏิบัติการแล้ว ยังส่งผลให้เกิดช่องโหว่ในส่วนของ file browsers และเครื่องมืออื่นๆ ที่ใช้ในการประมวลผลเกี่ยวกับ multimedia ด้วย

ที่มา: zdnet

VMware released security updates to address a vulnerability (CVE-2018-6983) that was recently discovered at the Tianfu Cup PWN competition.

ข้อบกพร่องของ VMware Workstation ที่ได้รับการเปิดเผยในการแข่งขัน WCF Cup PWN

VMware ได้เปิดตัวการปรับปรุงด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ (CVE-2018-6983) ที่เพิ่งค้นพบโดย Tianwen Tang ของทีม Vulcan ของ Qihoo 360 ในการแข่งขัน WCF Cup PWN
แฮ็กเกอร์ได้รับรายได้มากกว่า 1 ล้านเหรียญสำหรับการโจมตีที่ไม่มีวันถูกเปิดเผยในงานประกวดการแฮ็กที่เกิดขึ้นระหว่างวันที่ 16-17 พฤศจิกายนที่เมืองเฉิงตู
Tianwen Tang ได้รับ 100,000 เหรียญเพื่อใช้ประโยชน์จากข้อบกพร่องนี้ได้อย่างสมบูรณ์ได้แก้ไขช่องโหว่ของ Workstation และ Fusion อย่างรวดเร็ว
VMware ขอขอบคุณ Tianwen Tang จากทีม Qihoo 360Vulcan Team ที่เข้าร่วมการแข่งขัน Tianfu Cup 2018 International Pwn Contest เพื่อรายงานปัญหานี้แก่เรา
ช่องโหว่นี้เป็นข้อผิดพลาดจำนวนมากซึ่งส่งผลกระทบต่ออุปกรณ์เครือข่ายเสมือนจริง อาจใช้ประโยชน์จากการรันโค้ดบนโฮสต์เวิร์คสเตชันจากผู้เยี่ยมชม
ข้อบกพร่องมีผลต่อ Workstation 14.x และ 15.x บนแพลตฟอร์มใดก็ได้และ Fusion 10.x และ 11.x บน macOS

ที่มา : securityaffairs

Hacker backdoors popular JavaScript library to steal Bitcoin funds

แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.

Adobe plugs critical RCE Flash Player flaw, update ASAP! Exploitation may be imminent

Adobe ได้เปิดตัวการปรับปรุง Flash Player ช่องโหว่ที่มีระความความรุนแรงสูง CVE-2018-15981 ส่งผลให้มีการเรียกใช้โค้ดจากระยะไกลได้

ช่องโหว่ CVE-2018-15981 ถูกค้นพบและเปิดเผยต่อสาธารณโดยนักวิจัย Gil Dabah เมื่อสัปดาห์ที่ผ่านมา ทาง Adobe ได้แนะนำผู้ใช้งานให้ทำการอัพเดทแพทช์เร่งด่วน พรอมทั้งทำการอัพเดทเว็บเบราว์เซอร์ Google Chrome และ Microsoft Edge ด้วย เพราะทั้งสองมี Flash เป็นค่าเริ่มต้นและมีช่องโหว่อยู่ด้วย

จากข่าวรายงานว่า ทาง Adobe กำลังวางแผนหยุดสนับสนุน Flash Player ออกไปโดยสิ้นเชิงในปี 2020

Flash Player ที่ได้รับผลกระทบดังนี้ : Flash Player 31.0.0.148 และเวอร์ชันก่อนหน้านี้สำหรับ Windows, MacOS, Linux และ Chrome OS

ที่มา : helpnetsecurity

Amazon’s technical error leaks customers names and email addresses

Amazon ได้ส่งอีเมลไปยังลูกค้าบางส่วนเพื่อแจ้งให้ทราบเกี่ยวกับ "ข้อผิดพลาดทางเทคนิค" ที่เปิดเผยอีเมล ID และชื่อผู้ใช้บนเว็บไซต์สาธารณะของ Amazon

Amazon ปฏิเสธที่จะให้รายละเอียดของข้อผิดพลาดที่เกิดขึ้น และจำนวนผู้ได้รับผลกระทบ เพียงแค่กล่าวในแถลงการณ์ว่า "เราได้แก้ไขปัญหาและแจ้งลูกค้าที่อาจได้รับผลกระทบแล้ว" และได้ทำการแจ้งไปยังลูกค้าที่ได้รับผลกระทบว่าไม่ต้องตกใจ และไม่จำเป็นต้องเปลี่ยนรหัสผ่าน แม้ว่าผู้โจมตีอาจชื่อ และอีเมลของผู้ใช้งานเพื่อทำการรีเซ็ตบัญชีหรือใช้เพื่อทำการฟิชชิ่งต่อไปก็ตาม

Amazon ได้ไล่ออกพนักงานที่อยู่เบื้องหลังข้อผิดพลาดนี้ พร้อมทั้งแจ้งไปยังผู้ได้รับผลกระทบด้วยเนื้อหาว่า "เรากำลังแจ้งให้คุณทราบว่าที่อีเมลของคุณได้รับการเปิดเผยโดยพนักงานของ Amazon ให้กับ third-party seller อื่นๆ ในเว็บไซต์ของเราซึ่งเป็นการละเมิดนโยบายของเราดังนั้นพนักงานได้รับการฟ้องร้องทางกฎหมาย และคุณไม่จำเป็นต้องดำเนินการใด ๆ "

ที่มา : ehackingnews

A flaw in US Postal Service website exposed data on 60 Million Users

US Postal Service ไปรษณีย์ของสหรัฐอเมริกา (The United States Postal Service : USPS) ได้แก้ไขช่องโหว่ของเว็บไซต์ ที่ส่งผลให้ข้อมูลส่วนตัวของผู้ใช้งานถูกเปิดเผย และแก้ไขได้ มีผู้ได้รับผลกระทบเป็นจำนวนกว่า 60 ล้านคน

จากรายงานระบุว่า ผู้ค้นพบช่องโหว่ได้ทำการติดต่อมายัง Brian Krebs ซึ่งเป็นนักวิเคราะห์ด้านความปลอดภัยที่มีชื่อเสียง นักวิจัยคนดังกล่าวได้ทำการแจ้งปัญหาไปยัง USPS ตั้งแต่ปีที่แล้ว แต่บริษัทก็ไม่มีความพยายามที่จะแก้ไขปัญหาดังกล่าว จนกระทั่งช่องโหว่ดังกล่าวถูกเปิดเผยออกไป ปัญหาดังกล่าวจึงได้ถูกแก้ไขในทันที

ปัญหานี้เกิดจากการออกแบบให้สามารถใช้งาน API เพื่อนำข้อมูล tracking data ของบริษัทไปใช้ในเชิงธุรกิจ, โฆษณา และการส่ง campaign ผ่านเมลล์ต่างๆ ปัญหานี้ส่งผลทำให้ ผู้ใช้งานที่เข้าสู่ระบบสามารถทำการค้นหาข้อมูลที่เป็นของผู้ใช้รายอื่น ๆ ได้ เช่น ที่อยู่, อีเมล, รหัสผู้ใช้งาน, หมายเลขโทรศัพท์ และข้อมูลอื่น ๆ

ทาง USPS ได้แก้ไขปัญหาแล้ว โดยได้เพิ่มขั้นตอนในการตรวจสอบเพิ่มเติม เพื่อป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต เช่น เมื่อผู้ใช้พยายามแก้ไขที่อยู่อีเมลในบัญชี USPS ผ่านทาง API ระบบจะแจ้งให้ทราบผ่านทางอีเมลที่ผูกไว้กับบัญชีเพื่อให้ทำการยืนยันการเปลี่ยนแปลง

ที่มา : securityaffairs

Many ATMs Can be Hacked in Minutes: Report

ทีมนักวิจัยด้านความปลอดภัยของธนาคารจาก Positive Technologies เปิดเผยข้อมูลการโจมตีเครื่องเอทีเอ็มโดยระบุว่าส่วนใหญ่สามารถถูกแฮ็กได้ภายในเวลาไม่ถึง 20 นาทีหรือน้อยกว่าสำหรับวิธีการโจมตีบางประเภท

ทีมนักวิจัยได้ทำการทดสอบตู้เอทีเอ็มจาก NCR, Diebold Nixdorf และ GRGBanking โดยทดลองใช้วิธีการโจมตีแบบปกติและเทคนิคการที่กลุ่มแฮกเกอร์นิยมใช้อย่าง skimming จากการทดสอบพบว่ามีตู้เอทีเอ็มประมาณ 85 เปอร์เซ็นต์ที่ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้ ด้วยวิธีการ Unplugging หรือ tapping ผ่านสาย Ethernet หรือด้วยการ spoofing การเชื่อมต่อ wireless หรืออุปกรณ์ที่เครื่องเอทีเอ็มเชื่อมต่ออยู่ และ 23 เปอร์เซ็นต์ของเครื่องเอทีเอ็มอาจถูกโจมตีและใช้ประโยชน์จากอุปกรณ์เครือข่ายอื่น ๆ ที่เชื่อมต่อกับเครื่องเอทีเอ็มเช่น GSM โมเด็มหรือเราท์เตอร์

นักวิจัยกล่าวว่า "การโจมตีทางเครือข่าย" โดยทั่วไปใช้เวลาไม่ถึง 15 นาทีในการโจมตี แต่นักวิจัยสามารถทำการโจมตีแบบ "Black Box" ซึ่่งใช้เวลาประมาณ 10 นาที ซึ่งใช้เวลาเร็วกว่าเดิมในการโจมตีได้ การโจมตีด้วย Black Box คือการที่แฮกเกอร์เปิดตู้เอทีเอ็มหรือทำการเจาะรูไปเพื่อเข้าถึงสายเคเบิลที่เชื่อมต่อกับคอมพิวเตอร์ของเครื่องเอทีเอ็มเพื่อให้สามารถเข้าถึงเอทีเอ็ม cash box (หรือ safe) จากนั้นผู้โจมตีจะทำการเชื่อมต่อด้วยเครื่องมือที่สร้างขึ้นเอง (custom-made tool) ที่เรียกว่า Black Box ซึ่งจะทำให้เครื่องเอทีเอ็มสามารถสั่งจ่ายเงินสดได้ตามความต้องการ โดย 69 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยงที่จะถูกโจมตีด้วยวิธีการดังกล่าวและ 16 เปอร์เซ็นต์ของเครื่องเอทีเอ็มไม่มีการป้องกันการโจมตีในลักษณะนี้

อีกหนึ่งวิธีที่นักวิจัยค้นพบคือการโจมตีโดยการลองออกจากโหมด kiosk ซึ่งเป็นโหมดของระบบปฏิบัติการที่อินเทอร์เฟซของเครื่องเอทีเอ็มทำงานอยู่ โดยการ plugging อุปกรณ์เข้ากับช่องใดช่องหนึ่งของเอทีเอ็ม อย่างเช่น USB หรือ PS/2 ทำให้เครื่องเอทีเอ็มออกจากโหมด kiosk และสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการหลักเพื่อจ่ายเงินสดออกจากเครื่องเอทีเอ็มได้ โดยใช้เวลาไม่ถึง 15 นาทีและ 76 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบมีความเสี่ยง

อีกหนึ่งวิธีโจมตีที่ใช้เวลานานที่สุดแต่ได้ผลลัพท์ที่ดีที่สุดคือการ bypassed ฮาร์ดไดรฟ์ภายในตู้เอทีเอ็ม และเปลี่ยนให้ทำการบูตเข้าระบบจากภายนอก ซึ่งปกติจะใช้เวลาไม่เกิน 20 นาทีในการเปลี่ยนคำสั่งการบูตใน BIOS ใหม่โดยบูตจากฮาร์ดไดร์ของผู้โจมตีและทำการเปลี่ยนแปลงระบบปฏิบัติของเครื่องเอที่เอ็มใหม่ โดยพบว่าเครื่องเอทีเอ็มที่ทำการทดสอบ 92 เปอร์เซ็นต์สามารถถูกโจมตีด้วยวิธีดังกล่าว

นอกจากนี้นักวิจัยยังพบว่าผู้โจมตีสามารถเข้าถึงเครื่องเอทีเอ็มได้โดยทางกายภาพเพื่อทำการรีสตาร์ทและบูตเพื่อเข้าสู่ safe/debug โหมด การโจมตีใช้เวลาไม่ถึง 15 นาทีในการดำเนินการและนักวิจัยพบว่าร้อยละ 42 ของตู้เอทีเอ็มที่ทดสอบมีความเสี่ยง

และท้ายที่สุดคือนักวิจัยสามารถดักข้อมูลบัตรที่ส่งระหว่างเครื่องเอทีเอ็มและศูนย์ประมวลผลของธนาคาร ซึ่งคิดเป็น 58 เปอร์เซ็นต์ของเครื่องเอทีเอ็มที่ทำการทดสอบ แต่สามารถดักจับข้อมูลบัตรขณะทำการประมวลผลภายในเครื่อง ATM ได้ 100 เปอร์เว็นต์ เช่นระหว่างการส่งข้อมูลจากเครื่องอ่านบัตรไปยังระบบปฏิบัติการของ ATM การโจมตีครั้งนี้ใช้เวลาไม่ถึง 15 นาที

ที่มา : SECURITYWEEK

New set of Pakistani banks’ card dumps goes on sale on the dark web

สำนักงานสืบสวนกลาง (FIA) เปิดเผยว่าธนาคารเกือบทุกแห่งของปากีสถานได้รับผลกระทบจากการละเมิดความปลอดภัย

ผู้เชี่ยวชาญจาก Group-IB ได้พบการขายข้อมูลของบัตรที่ออกโดยธนาคารในปากีสถานและธนาคารอื่นๆ จำนวนมากใน Joker's Stash ซึ่งเป็นหนึ่งในเครือข่ายใต้ดินที่ใช้สำหรับขายข้อมูลบัตรที่ได้มาอย่างผิดกฎหมาย ซึ่งได้รับความนิยมมากที่สุดแห่งหนึ่ง โดยข้อมูลบัตรที่ถูกโจรกรรมเมื่อวันที่ 13 พฤศจิกายนที่ผ่านมา เป็นชุดสำเนาข้อมูลดิจิทัลที่มีอยู่ในแถบแม่เหล็กของบัตรเครดิต มีรายละเอียดการทำธุรกรรมการเงินของบัตรจำนวน 177,878 ใบ ทั้งจากปากีสถานและธนาคารระหว่างประเทศอื่น ๆ

จากรายงานของ Group-IB ระบุว่าตั้งแต่มิถุนายน 2017 จนถึงสิงหาคม 2018 มีข้อมูลมากกว่า 1.8 ล้านรายการได้ถูกอัพโหลดขึ้นไปยังเครือข่ายใต้ดินในแต่ละเดือน คาดว่าการใช้วิธีการวาง Trojan บน POS น่าจะเป็นเป็นวิธีหลักที่ถูกใช้ในการโจรกรรมข้อมูลบัตรเครดิต รวมถึงเหตุการณ์ในครั้งนี้ด้วย

ที่มา : securityaffairs

Internet Explorer scripting engine becomes North Korean APT’s favorite target in 2018

Script engine ของ Internet Explorer เป็นเป้าหมายที่ได้รับความสนใจจากกลุ่มผู้โจมตีทางไซเบอร์ของเกาหลีเหนือในปีนี้ หลังจากที่แฮกเกอร์ได้ใช้ช่องโหว่ zero-day ทั้งใหม่และเก่าเพื่อเป็นเครื่องมือในการโจมตี

DarkHotel กลุ่มผู้โจมตีทางไซเบอร์ที่ McAfee และผู้เชี่ยวชาญจากหลายๆ องค์กรเชื่อว่าน่าจะเกี่ยวข้องกับเกาหลีเหนือ ซึ่งเคยถูกระบุในรายงานของ Kaspersky เมื่อปี 2014 ว่าเป็นกลุ่มที่ทำการโจมตีระบบ WiFi ของโรงแรมมากกว่า 100 แห่งเพื่อทำการแพร่กระจายมัลแแวร์ ล่าสุดกลุ่มดังกล่าวก็ได้ลงมืออีกครั้งในปีนี้ผ่านการใช้ช่องโหว่ของ VBScript engine ของ Internet Explorer 2 ตัว ได้แก่ CVE-2018-8174 ในเดือนเมษายน และ CVE-2018-8373 ในเดือนสิงหาคม ซึ่งทั้งสองช่องโหว่ได้รับการแพทช์โดย Microsoft ไปเรียบร้อยแล้ว และที่เพิ่งถูกรายงานออกมาล่าสุดจาก Qihoo 360 Core ได้ระบุว่ากลุ่มนี้มีการใช้วิธีการโจมตีใหม่ผ่านช่องโหว่ของ IE Script เก่า 2 ตัว คือ CVE-2017-11869 และ CVE-2016-0189

ทั้งนี้ Internet Explorer เป็นจุดที่ค่อนข้างน่ากังวลมากด้านความปลอดภัย เนื่องจากถูกพัฒนามานานมากแล้ว ทำให้ Code บางส่วนอาจจะไม่ปลอดภัยในปัจจุบัน Microsoft เองก็ได้เล็งเห็นถึงจุดนี้ ในเดือนกรกฎาคมปี 2017 จึงได้ปิดความสามารถการรัน VBScript อัตโนมัติบน IE เวอร์ชั่นใหม่ๆ การปรับปรุงในครั้งนั้นอาจจะช่วยป้องกันให้ผู้โจมตีไม่สามารถรัน VBScript ที่เป็นอันตรายบนเครื่อง Windows 10 ผ่าน IE ได้ แต่ก็ไม่สามารถหยุดการโจมตีจากกลุ่ม DarkHotel ซึ่งได้เปลี่ยนวิธีการใหม่เป็นการแนบ Code ไปในเอกสาร Word เพื่อทำการเรียกหน้าเว็บผ่าน IE Frame แทน

ที่มา : zdnet

Huawei Routers Exploited to Create New Botnet

พบช่องโหว่ Zero-Day ใน Home router ของ Huawei HG532 โดย Payload ที่ถูกส่งไปนั้นถูกระบุว่าเป็นของ Botnet ตัวใหม่ที่ถูกเรียกว่า OKIRU หรือ SATORI นั่นเอง ซึ่งตรงกับข้อสันนิษฐานจาก Check Point ที่ได้ออกมาให้รายละเอียดไปก่อนหน้านี้เมื่อช่วงต้นเดือนที่ผ่านมา และเชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีนี้คือผู้ที่ใช้นามแฝงว่า 'Nexus Zeta'

เมื่อวันที่ 23 พฤศจิกายน Check Point ได้รับการแจ้งเตือนจาก Honey-pots ว่ามีการพบพฤติกรรมที่ผิดปกติ
จึงได้ทำการตรวจสอบเพิ่มเติม และได้พบว่ามีการโจมตีโดยใช้ช่องโหว่ที่ไม่รู้จัก(zero-day) ในอุปกรณ์ Huawei HG532 จุดมุ่งหมายคือการปล่อย Botnet รูปแบบใหม่ ซึ่งเชื่อว่าน่าจะเป็น Mirai botnet ชนิดใหม่ เนื่องจาก Huawei เลือกที่จะใช้งานบน Universal Plug and Play (UPnP) โปรโตคอล ที่อ้างอิงจากรายงานมาตรฐาน TR-064 โดยจุดประสงค์เพื่อต้องการให้อุปกรณ์ของตนเองสามารถใช้งานได้ง่ายขึ้น แต่นักวิจัยจาก Check Point พบว่าการใช้งานบนมาตรฐาน TR-064 ในอุปกรณ์ Huawei นั้น ส่งผลทำให้ผู้บุกรุกสามารถส่งคำสั่งใด ๆ มารันบนอุปกรณ์ได้ ซึ่งในกรณีนี้คือมัลแวร์ OKIRU หรือ SATORI นั่นเอง

หลังจากการโจมตีนี้ได้รับการยืนยันไม่นาน ก็ได้มีการแจ้งไปยัง Huawei เพื่อจัดการกับการแพร่กระจายที่เกิดขึ้นนี้ และทีมด้านความปลอดภัยของ Huawei ซึ่งทำงานได้อย่างรวดเร็วมาก ก็ได้ออก Patch สำหรับอุดช่องโหว่ดังกล่าวออกมาไม่นานนักหลังจากนั้น ในเวลาเดียวกันทีมพัฒนาผลิตภัณฑ์ของ Check Point เองก็ได้พัฒนาและออกการป้องกันบน IPS ให้กับลูกค้าของตนเองโดยทันที

ที่มา : checkpoint