National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs

Palo Alto Networks ออกแพทช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงใน GlobalProtect portal และ GlobalProtect Gateway

Orange Tsai และ Meh Chang ทีมนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ remote code-execution (RCE) ใน GlobalProtect portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวได้รับ CVE-2019-1579 ซึ่งช่องโหว่ดังกล่าวทำให้่ให้ผู้โจมตีสามารถสั่งรันโปรแกรมที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ โดยทีมนักวิจัยได้ทำการเผยแพร่ PoC code สำหรับช่องโหว่ดังกล่าวและอธิบายวิธีการตรวจสอบว่าการติดตั้งมีความเสี่ยงหรือไม่โดยใช้คำสั่งแบบง่าย

ช่องโหว่ดังกล่าวเกิดจาก Gateway ส่งต่อค่าพารามิเตอร์โดยตรง ไม่มีการตรวจสอบและกำจัดค่าที่อาจเป็นอันตราย โดยมีผลกระทบกับ PAN-OS 7.1.18 และรุ่นก่อนหน้า, PAN-OS 8.0.11 และก่อนหน้าและ PAN-OS 8.1.2 และก่อนหน้า ในส่วนของ PAN-OS 9.0 ไม่ได้รับผลกระทบ

Palo Alto Networks ได้ทำการออกอัปเดต PAN-OS เวอร์ชันเป็น 7.1.19, 8.0.12 และ 8.1.3 เพื่อแก้ไขข้อผิดพลาด แนะนำให้ทำการอัปเดตแพตช์เพื่อลดเสี่ยงในการถูกโจมตี

ที่มา:securityweek

แพตช์ชุดใหญ่และร้ายแรง Palo Alto Networks ปล่อยแพตช์ PAN-OS 4 แพตช์ ทำ RCE ได้
เมื่อสัปดาห์ที่ผ่านมา Palo Alto Networks ได้มีการประกาศแพตช์ให้แก่ PAN-OS ทั้งหมด 4 แพตช์โดยจากใน 4 แพตช์นั้นมีช่องโหว่อันตรายร้ายแรง remote code execution และ remote command injection รวมอยู่ด้วย และอีกหนึ่งแพตช์จาก GlobalProtect Agent ทำให้ผู้โจมตียกระดับสิทธิ์ได้

แพตช์ทั้งหมด 5 แพตช์นั้นมีรายละเอียดดังนี้
CVE‌-2017-15944: Philip Pettersson ค้นพบวิธีรันโค้ดจากระยะไกลบน PAN-OS โดยการใช้สามช่องโหว่รวมกันโดยมีเงื่อนไขคือ อุปกรณ์จะต้องเปิดให้เข้าถึง web management interface ได้จาก WAN โดยในตอนนี้ผู้ค้นพบช่องโหว่ได้มีการเปิดเผยรายละเอียดของช่องโหว่และวิธีการโจมตีออกมาแล้ว แนะนำให้แพตช์โดยเร็วที่สุด กระทบ PAN-OS 6.1.18 และก่อนหน้า, PAN-OS 7.0.18 และก่อนหน้า, PAN-OS 7.1.13 และก่อนหน้าและ PAN-OS 8.0.5 และก่อนหน้า
CVE‌-2017-15940: Won Lae Lee จาก Samsung พบวิธีอัดฉีดคำสั่งที่เป็นอันตรายได้จากระยะไกล โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15942: Craig Stephen จาก Net Consulting ค้นพบช่องโหว่ DoS โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15943: Ekzhin Ear จาก NATO ค้นพบช่องโหว่ SSRF เพื่อทำ security bypass กระทบ PAN-OS 6.1.18 และก่อนหน้า และ PAN-OS 7.1.13 และก่อนหน้า
CVE‌-2017-15870: Brandon McCann ค้นพบช่องโหว่ยกระดับสิทธิ์ใน GlobalProtect Agent 3.1.0 และก่อนหน้า และ 4.02 และก่อนหน้า

แนะนำให้ตรวจสอบที่ https://support.

Palo Alto Networks แจ้งเตือนการแพร่ระบาดของโทรจัน UBoatRAT ในแถบเอเชีย

กลุ่มนักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ประกาศแจ้งเตือนการค้นพบการแพร่กระจายของมัลแวร์ประเภทโทรจันหรือ RAT "UBoatRAT" ซึ่งพุ่งเป้าการโจมตีในแถบเอเชีย

มัลแวร์ UBoatRAT ใช้วิธีการแพร่กระจายผ่านทางลิงค์แชร์ไฟล์ซึ่งอยู่บนบริการของ Google Drive โดยมัลแวร์จะมีการดึงรายการของเซิร์ฟเวอร์ที่ใช้ในการสั่งการและควบคุม (C&C servers) บน GitHub และใช้ฟีเจอร์ BITS ของวินโดวส์ในการดาวโหลดและฝังตัวในระบบต่างๆ กระบวนการติดต่อกับ C&C server นั้นถูกออกแบบให้ใช้โปรโตคอลที่มีการเข้ารหัสแบบเฉพาะ

เมื่อเริ่มต้นทำงาน มัลแวร์ UBoatRAT จะมีการคัดลอกตัวเองไปยังพาธ C:\programdata\svchost.

สำหรับผู้ใช้อุปกรณ์ Palo Alto Networks มีข่าวที่ต้องการแจ้งให้ทราบว่ามีการสร้าง Category ใหม่สำหรับบริการกรอง URL ของ Palo Alto Networks โดย Category ที่เพิ่งเพิ่มขึ้นคือ “Command-and-Control” ซึ่งก่อนหน้านี้ถูกรวมอยู่ใน Category "Malware" มาตลอด ซึ่งการเพิ่ม Category "Command-and-Control" ขึ้นมานั้นเป็นการแยกข้อมูลมาจาก Category เดิม

ในวันที่ 12 กันยายน 2017 Category "Command-and-Control" ได้ถูกเผยแพร่ให้กับผู้ใช้งาน Palo Alto Networks Firewall เป็นที่เรียบร้อย อย่างไรก็ตามผู้ใช้ต้องตั้งค่าของอุปกรณ์ด้วยตนเองเพื่อให้สามารถใช้งาน Category

ข้อควรปฏิบัติ: แนะนำให้ดำเนินการอัพเดตและตั้งค่าโดยเร็วที่สุดโดยตั้งค่า Policy Action สำหรับ Command-and-Control ใหม่นี้เป็น BLOCK สำหรับแต่ละ Security Profile แม้ว่าจะยังไม่มีการจัดกลุ่มข้อมูลใดๆ ลงใน Category ก็ตาม เนื่องจากหากมีการเข้าถึงใดๆ ที่ไม่ปลอดภัยจากผู้ใช้งานและยังไม่มีการตั้งค่าเป็น BLOCK อาจส่งผลให้เกิดความเสี่ยงทางด้านความปลอดภัยได้

ทาง Palo Alto Networks ยังไม่ได้กำหนดวันที่ที่แน่ชัดสำหรับการเปิดใช้งาน Category นี้อย่างเป็นทางการแต่คาดการณ์ว่าผู้ใช้งานจะสามารถใช้งานฟีเจอร์ใหม่นี้ได้เร็วนี้ๆ ผู้ใช้งานสามารถติดตามข่าวและการเปลี่ยนแปลงใดๆ ของฟีเจอร์ได้จากหน้า FAQ (https://live.

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบมัลแวร์เรียกค่าไถ่หรือ Ransomware ที่มีเป้าหมายเป็น OSX ในชื่อ KeRanger โดยนักวิจัยระบุว่าพบ KeRanger Ransomware ถูกฝังมากับ Tranmission เวอร์ชั่น 2.90, 2.91 หรือโปรแกรมสำหรับโหลด BitTorrent ใน Mac ที่มีผู้ใช้จำนวนหลายล้านคนทั่วโลก, เมื่อติดตั้ง Tranmission ที่มี KeRanger ฝังอยู่ไปแล้วประมาณ 3 วัน ไฟล์ใน Harddisk ของเครื่องผู้ใช้อาทิเช่น เอกสารที่สำคัญ, รูปภาพ, ไฟล์วีดีโอ, email archives file และฐานข้อมูลต่างๆ จะถูกเข้ารหัส, KeRanger จะเรียกค่าไถ่เป็นราคา 1 Bitcoin หรือประมาณ $410 อย่างไรก็ตามทางนักวิจัยเชื่อว่าที่ Tranmission ถูก KeRanger ฝังมานั้นอาจเกิดจากเว็บไซต์ Tranmission ถูกแฮกไปแก้ไขไฟล์ dmg ที่ใช้ติดตั้ง Tranmission, สำหรับผู้ใช้ที่มีการติดตั้ง Tranmission ไว้ควรอัพเกรดไปเป็นเวอร์ชั่น 2.92 โดยเร็วที่สุด

ที่มา : thehackernews

บริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา มีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS ซึ่งมัลแวร์ตัวนี้อาจจะมีต้นทางมาจากจีน โดยทำการดักเอา Apple ID ของผู้ใช้งาน แล้วส่งกลับไปยังแฮกเกอร์ หลังจากนั้นแฮกเกอร์จะนำเอา Apple ID ไปใช้งานและมีความเป็นไปได้ที่จะแฮกเอาทั้งรหัสประจำตัวของโทรศัพท์และใบรับรองความปลอดภัยไปเพื่อเข้าถึงบริการของ Apple Pay ด้วย ซึ่งมีผู้ได้รับผลกระทบแล้วกว่า 2 แสนราย

นอกจากนั้นแล้ว ทางบริษัทยังมีการรายงานเพิ่มเติมว่ามีการตรวจพบ ransomware เพื่อบังคับให้ผู้ใช้จ่ายเงินแลกกับการได้กลับมาควบคุมโทรศัพท์เหมือนเดิมด้วย โดยคำแนะนำที่ดีที่สุดในการป้องกันจากการแพร่ระบาดของมัลแวร์และ ransomware คือการไม่เจลเบรคเครื่อง ส่วนคนที่ได้รับผลกระทบนอกจากเปลี่ยนรหัสผ่าน Apple ID และเปิดการยืนยันตัวตนสองขั้นตอน (two-factor authentication) แล้ว ยังต้องหมั่นตรวจสอบความผิดปกติในรายการซื้อสินค้าต่างๆ ผ่าน Apple ID ด้วย

ที่มา : blognone