DHS ของสหรัฐอเมริกาและ GCHQ ของสหราชอาณาจักรเข้าร่วมกับ Amazon และ Apple ปฏิเสธรายงานเรื่องฝังชิปของ Bloomberg

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติ (NCSC) ของสหราชอาณาจักร และกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) ของสหรัฐอเมริกา แถลงโต้รายงานจาก Bloomberg ที่กล่าวว่าหน่วยสืบราชการลับของจีน แอบติดตั้งชิปสอดแนมภายในเมนบอร์ดของบริษัท Supermicro ซึ่งถูกใช้สำหรับเซิร์ฟเวอร์ของบริษัทกว่า 30 แห่ง รวมถึง Apple กับ Amazon

เมื่อวันพฤหัสบดีที่แล้ว Bloomberg Businessweek อ้างแหล่งข่าวไม่ระบุชื่อจำนวน 17 รายที่เผยว่าหน่วยสืบราชการลับของจีน ได้ลอบติดตั้งชิปสอดแนมขนาดเท่าปลายหัวดินสอ ซึ่งไม่สามารถตรวจสอบได้โดยอุปกรณ์ธรรมดาทั่วไป ในผลิตภัณฑ์ของ Supermicro หนึ่งในบริษัทผลิตเมนบอร์ดรายสำคัญของโลก ซึ่งถูกใช้งานในเครือข่ายของรัฐบาลสหรัฐอเมริกา และสหราชอาณาจักร รวมถึงเซิร์ฟเวอร์ของบริษัทต่างๆ กว่า 30 แห่ง โดยมี Apple กับ Amazon อยู่ในข่ายด้วย จนส่งกระทบต่อมูลค่าหุ้นของ Supermicro โดยตรง ก่อนปิดตลาดเมื่อสุดสัปดาห์ที่ผ่านมา นอกจากทั้ง DHS และ NCSC แล้ว ทั้งสามบริษัทก็ได้แถลงปฏิเสธถึงรายงานดังกล่าวเช่นกัน ว่าอาจเป็นเพราะแหล่งข่าวได้รับข้อมูลที่ผิด หรือเข้าใจผิด หรืออาจเกิดจากความสับสนกับเหตุการณ์ในปี 2016 ซึ่งพบว่ามีไดรเวอร์ที่ติดไวรัสบนเซิร์ฟเวอร์ Super Micro แห่งหนึ่งในแล็บ

เช่นเดียวกับ ก็มีนักวิจัยด้านความปลอดภัยและผู้เชี่ยวชาญด้านสารสนเทศของ Infosec ได้วิจารณ์และตำหนิรายงานดังกล่าวอย่างต่อเนื่อง โดยชี้ให้เห็นว่ารายงานมีข้อผิดพลาด และขาดรายละเอียดด้านเทคนิคที่เพียงพอ

ที่มา : zdnet

บริษัท Apollo ตกเป็นเหยื่อรายล่าสุดที่ถูกเปิดเผยข้อมูลจำนวนมากกว่า 200 ล้านรายการ

บริษัท Apollo เดิมรู้จักกันในชื่อ ZenProspect บริษัทที่รวบรวมข้อมูลจากสื่อสาธารณะอย่าง Twitter และ LinkedIn โดยทางบริษัทจะใช้ข้อมูลดังกล่าวเพื่อช่วยให้พนักงานขายสามารถติดต่อกับผู้ซื้อที่มีศักยภาพได้ จากฐานข้อมูลที่มีถึง 200 ล้านรายใน 10 ล้านบริษัท ประกอบด้วยข้อมูล เช่น ชื่อ ที่อยู่อีเมล และข้อมูลที่ติดต่อบริษัท

เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 23 กรกฎาคม 2018 ทางบริษัท Apollo ได้แจ้งลูกค้าว่าพบการรั่วไหลของข้อมูลเมื่อสัปดาห์ที่ผ่านมา โดยลูกค้าที่ได้รับผลกระทบจะได้รับอีเมลการแจ้งเตือนที่ระบุว่าเหตุการณ์ข้อมูลรั่วไหลครั้งนี้นี้ถูกพบหลังจากมีการอัพเกรดระบบในเดือนกรกฎาคม แต่ข่าวดีก็คือข้อมูลหมายเลขประกันสังคม ข้อมูลทางการเงิน หรือที่อยู่อีเมลและรหัสผ่านนั้นไม่ได้รับผลกระทบ

อย่างไรก็ตามผู้เชี่ยวชาญเตือนว่า บริษัท Apollo อาจเผชิญกับบทลงโทษโดย European GDPR แม้ว่าข้อมูลสำคัญจะไม่ถูกเปิดเผยออกมา แต่เหตุการณ์นี้อาจทำให้ผู้ใช้ตกอยู่ในความเสี่ยงที่จะโดนสแปมหรือการกระทำที่เป็นอันตรายอื่นๆ ได้

ที่มา : securityaffairs

นักวิจัยด้านความปลอดภัยจาก Tenable Research ได้เปิดตัวการโจมตี RCE ใหม่ สำหรับช่องโหว่ Directory Traversal เก่าที่เคยพบ

ช่องโหว่ CVE-2018-14847 ได้รับการจัดอันดับความรุนแรงอยู่ระดับปานกลาง (Medium) แต่ควรได้รับการปรับระดับความรุนแรงเป็นสำคัญ (Critical) หลังจากนี้ เนื่องจากเทคนิคการแฮ็กใหม่ที่ใช้กับเราเตอร์ MikroTik มีช่องโหว่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบและได้รับสิทธิ์ root ส่งผลกระทบต่อ Winbox ซึ่งเป็นองค์ประกอบการจัดการสำหรับผู้ดูแลระบบในการตั้งค่าเราเตอร์โดยใช้อินเทอร์เฟซบนเว็บและแอพพลิเคชัน Windows GUI สำหรับซอฟต์แวร์ RouterOS ที่ใช้โดยอุปกรณ์ MikroTik

ช่องโหว่นี้ช่วยให้ผู้โจมตีจากระยะไกลสามารถเลี่ยงการตรวจสอบสิทธิ์และอ่านไฟล์ได้โดยการแก้ไขข้อมูลที่เกี่ยวกับ Session ID

Tenable Research "Jacob Baines" ได้ทำการทดสอบโดยเริ่มจากใช้ช่องโหว่ directory traversal เพื่อขโมยข้อมูล credential ที่ใช้เข้าสู่ระบบของผู้ดูแลจากไฟล์ฐานข้อมูลและเขียนไฟล์อื่นในระบบเพื่อให้ได้ root shell เข้าถึงได้จากระยะไกล โดยได้ตั้งชื่อ PoC ในครั้งนี้ว่า "By the Way" และได้เผยแพร่ไว้บน GitHub ของ Tenable

นอกจากนี้ Tenable ยังเปิดเผยช่องโหว่ใหม่ๆ ของ MikroTik Router อื่นๆ ได้แก่
- CVE-2018-1156 ข้อบกพร่องของ stack overflow ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีได้สิทธิ์เต็มที่ในระบบ และเข้าถึงระบบภายในที่ใช้เราเตอร์ได้อย่างเต็มรูปแบบ.
- CVE-2018-1157 ข้อบกพร่องที่อัปโหลดไฟล์ memory exhaustion ซึ่งอนุญาตให้ผู้โจมตีจากระยะไกล สามารถขัดขวางการทำงาน (crash) ของ HTTP เซิร์ฟเวอร์ได้
- CVE-2018-1159 ข้อบกพร่องในส่วน www memory ที่อาจขัดขวางการทำงานของ HTTP เซิร์ฟเวอร์ โดยทำการตรวจสอบตัวตน (authenticating) และยกเลิกการเชื่อมต่ออย่าง (disconnecting) รวดเร็ว
- CVE-2018-1158 ปัญหาการทำ recusive parsing stack ของ JSON ที่สามารถขัดขวางการทำงาน (crash) ของเซิร์ฟเวอร์ HTTP ได้

Tenable Research ได้รายงานปัญหาต่างๆ ไปยัง MikroTik ตั้งแต่เดือนพฤษภาคม และทางบริษัทได้ทำการแก้ไขช่องโหว่ พร้อมปล่อย RouterOS เวอร์ชัน 6.40.9, 6.42.7 และ 6.43 ในเดือนสิงหาคม และจากการตรวจสอบล่าสุดพบว่า 70 เปอร์เซ็นต์ของเราเตอร์ (ประมาณ 200,000) ยังคงมีช่องโหว่อยู่ ทั้งนี้ Mikrotik RouterOS เวอร์ชั่นก่อน 6.42.7 และ 6.40.9 ได้รับผลกระทบจากช่องโหว่นี้ทุกตัว ผู้ใช้งานควรทำการแพทช์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : thehackernews

Git Project ออกประกาศเกี่ยวกับช่องโหว่ remote code execution ใน Git command line client, Git Desktop และ Atom ซึ่งส่งผลกระทบระดับ critical ทำให้ Repositories อันตรายสามารถรันคำสั่งจากระยะไกลมายังเครื่องที่มีช่องโหว่ได้

ตามปกติแล้วเมื่อมีการใช้คำสั่ง clone จาก repository ด้วยคำสั่ง ‘git clone –recurse-submodules argument’ ตัว Git จะค้นหา URL ภายในไฟล์ .gitmodules และส่งค่า URL ต่อไปให้โปรเซสย่อยของ git clone

แต่เนื่องจากช่องโหว่ดังกล่าวที่ได้รับรหัสคือ CVE-2018-17456 หากผู้โจมตีสร้าง repository ที่เป็นอันตรายโดยสร้างไฟล์ที่ชื่อ .gitmodules โดยภายในมี URL ที่เริ่มด้วยเครื่องหมายยัติภาค "-" ตัวโปรเซสย่อยจะแปล URL เป็น Option ซึ่งทำให้ผู้โจมตีสามารถ Remote Code Execution ได้ ช่องโหว่นี้มีความคล้ายคลึงกับช่องโหว่ injection (CVE-2017-1000117) ซึ่งได้มีประกาศออกมาก่อนหน้านี้

เช่น ถ้าผู้โจมตีระบุ url ภายในไฟล์ .gitmodules เป็น url = ssh://-oProxyCommand=touch VULNERABLE/[git@github.

เมื่อช่วงปลายเดือนกันยายน "Zoho" ซึ่งเป็นผู้ให้บริการซอฟต์แวร์ CRM และผู้ให้บริการอีเมลสาธารณะ ได้ถูกระงับการใช้งาน (Offline) โดยผู้ให้บริการโดเมน เนื่องจากถูกระบุว่าเป็น Phishing และสัปดาห์ที่ผ่านมามีการเผยแพร่ข้อมูลออกมาว่า Zoho กำลังถูก keylogger ใช้ในการส่งข้อมูลที่ถูกขโมยมา

keylogger เป็นมัลแวร์ที่คอยตรวจจับข้อมูลในเครื่องเหยื่อ รวบรวมข้อมูลสำคัญต่างๆ รวมถึงพฤติกรรมการใช้งานของเหยื่อด้วย ซึ่งข้อมูลเหล่านี้จะถูกรวบรวมและส่งไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของแฮกเกอร์หรือส่งผ่านอีเมลไปยังแฮกเกอร์ โดยพบว่า 40% ของ keylogger จะใช้อีเมลสาธารณะ Zoho เพื่อส่งข้อมูล

ทาง BleepingComputer ได้ติดต่อถึง Zoho เกี่ยวกับเหตุการณ์ดังกล่าว ซึ่งทาง Zoho ได้มีการออกข้อกำหนดใหม่ที่จะต้องปฏิบัติดังนี้
- การลงทะเบียนบัญชีใหม่ทั้งหมดจะต้องมีการยืนยันตัวตนผ่านมือถือ (mobile verification)
- มีการเปลี่ยน Sender Policy Framework (SPF) สำหรับ zoho.