จับได้แล้ว มือแฮกเว็บไซต์ “ศาลรัฐธรรมนูญ”

วันที่ 11 พฤศจิกายนที่ผ่านมา มีรายงานจากสำนักข่าวในประเทศไทยระบุว่า เว็บไซต์ศาลรัฐธรรมนูญ ถูกแฮกโดยเปลี่ยนชื่อไซต์เป็น Kangaroo Court และเปลี่ยนแปลงการแสดงผลหน้าเว็บไซต์เป็นมิวสิกวิดีโอเพลง Guillotine (It Goes Yah) ของวงดนตรีแนวฮิปฮอปจากสหรัฐชื่อ Death Grips และทำให้ไม่สามารถเข้าได้นั้น ซึ่งต่อมาทางกระทรวงดิจิทัลฯ ประกาศว่ากำลังเร่งหาตัวผู้กระทำผิด

ล่าสุดวันที่ 13 พฤศจิกายน มีรายข่าวจากสำนักข่าวว่าเจ้าหน้าที่ตำรวจสามารถจับกุมมือแฮกได้แล้ว หลังจากแกะรอยจากไอพีจนสามารถจับกุมได้ที่ จ.อุบลราชธานี เป็นชายวัย 33 ปี จบปริญญาตรีด้านวิทยาศาสตร์การแพทย์ โดยผู้ที่ถูกจับกุมให้การรับสารภาพว่าเป็นผู้แฮกเว็บไซต์ศาลรัฐธรรมนูญจริง จึงมีการสอบปากคำพร้อมยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิดเพื่อส่งให้กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัลต่อไป

หากมีความคืบหน้าเพิ่มเติมทาง i-secure จะอัปเดตข้อมูลให้ทราบอีกครั้ง

Hackers leave ransom note after wiping out MongoDB in 13 seconds

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Kromtech เผยผลการทดสอบความเร็วในการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีเป้าหมายโจมตีเซิร์ฟเวอร์ MongoDB ที่มีช่องโหว่ ค้นพบว่ามัลแวร์ใช้เวลาเพียงแค่ 3 ชั่วโมงในการค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอีก 13 วินาทีเพื่อลบฐานข้อมูล

ปัญหาหลักของเซิร์ฟเวอร์ MongoDB โดยส่วนมากนั้นมีที่มาจากการตั้งค่าที่ไม่ปลอดภัยซึ่งมักจะถูกตั้งค่ามาทันทีที่เริ่มติดตั้งและมีการใช้งาน บริการ Shodan ตรวจพบเซิร์ฟเวอร์ MongoDB กว่า 30,000 รายที่ยังคงมีความเสี่ยงที่จะถูกโจมตีและได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่

รูปแบบการโจมตีที่แฮกเกอร์ดำเนินการนั้น ทันทีที่แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้จากระยะไกล แฮกเกอร์จะทำการลบฐานข้อมูลรวมไปถึงไฟล์บันทึกการเข้าถึงต่างๆ เพื่อลบร่องรอยตัวเอง หลังจากนั้นแฮกเกอร์จะทำการสร้างฐานข้อมูลใหม่เพื่อแจ้งให้ผู้ใช้งานทราบและเรียงร้องค่าไถ่

Recommendation : การป้องกันในเบื้องต้นนั้น แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการตั้งค่าระบบตาม Security Best Practices (https://www.

Prilex ATM Malware Modified to Clone Chip-and-Pin Payment Cards

นักวิจัยจาก Kaspersky Lab ได้มีการเปิดเผยข้อมูลว่าฟังก์ชันเดิมของ Prilex คือการปรับแต่ง Malware ด้วยฟังก์ชันพิเศษเพื่อขโมยข้อมูลบัตรจากระบบ POS หมายความว่าระบบ POS เมื่อติด Malware แล้วอาจถูกปรับแต่ง และทำให้บุคคลที่สามสามารถเข้ามาดักจับข้อมูลระหว่างทางได้ โดยช่วงระยะทางดังกล่าวคือตอนที่ลูกค้ามีการจ่ายเงินผ่านระบบ POS ที่ติด Malware ข้อมูลดังกล่าวจะถูกส่งไปให้กับ Hacker โดยอัตโนมัติ ในประเทศบราซิลกลุ่ม Hacker ได้มีการพัฒนาโคงสร้างของ Malware และสร้างบัตรปลอมขึ้นมา มีข้อผิดพลาดเกิดขึ้นในการพัฒนาตัว EMV( ระบบรักษาความปลอดภัยสำหรับการทำธุรกรรมทางการเงิน) ซึ่งนั่นทำให้ข้อมูลที่ผ่านกระบวนการยืนยันไม่ได้รับการยืนยัน และที่แน่ไปกว่านั้นคือบัตรปลอมเหล่านี้สามารถใช้ได้กับทุกระบบ POS ในบราซิล

นักวิจัยจาก Kaspersky Lab ระบุถึงรายละเอียดโครงสร้างตัว Prilex ว่ามี Java applet และแอพพลิเคชันชื่อว่า Daphne ซึ่งเขียนข้อมูลลงบนบัตรปลอม และจะประเมินจำนวนข้อมูลที่สามารถดึออกมาได้ Prilex ยังมีฐานข้อมูลที่เอาไว้เก็บรหัสของบัตรต่างๆ ข้อมูลจะถูกขายเป็นแพ็คเกจในบราซิล โดยปกติเมื่อมีการใช้บัตรที่ระบบ POS จะประกอบไปด้วย 4 ขั้นตอน Namely Initialization, Data Authentication, Cardholder Verification, และ Transaction มีเพียงแค่ขั้นตอนแรกและสุดท้ายที่จำเป็น สองอันตรงกลางสามารถข้ามขั้นตอนไปได้ เมื่อมีการใช้บัตรปลอมดังกล่าว ระบบ POS จะได้รับสัญญาณว่าข้ามขั้นตอน data authentication ได้ และตัวระบบไม่จำเป็นต้องมองหา Cryptographic Keys ของบัตร

Santiago Pontiroli นักวิจัยจาก Kaspersky ได้ออกมาบอกว่า Orilex ในเวลานี้เป็น Malware ที่รองรับการใช้งานของ Hacker แบบเต็มตัวเพราะมีหน้า UI ที่ออกแบบมาดี และมีไฟล์ต้นแบบในการสร้างโครงสร้างบัตรต่างๆ ทำให้กลายเป็นธุรกิจในตลาดมืด

ที่มา : hackread

Joomla! 3.8.3: Privilege Escalation via SQL Injection

กลุ่มนักวิจัยด้านความปลอดภับจาก RIPS Technologies ได้มีการเปิดเผยถึงการค้นพบช่องโหว่ secord-order SQL injection ใน Joomla! เวอร์ชันก่อนหน้า 3.8.4 และมากกว่า 3.7.0 ซึ่งส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเป็นผู้ดูแลระบบเว็บไซต์ได้

ช่องโหว่นี้ได้รับการแพตช์ในแพตช์ด้านความปลอดภัยที่ถูกเผยแพร่ออกมาในวันที่ 30 มกราคม แนะนำให้ผู้ใช้งาน Joomla! ทำการตรวจสอบและอัปเดตโดยด่วน
Affected Platform - Joomla! รุ่นน้อยกว่า 3.8.4 และ มากกว่า 3.7.0

ที่มา : Ripstech

Cyber Espionage Group Targets Asian Countries With Bitcoin Mining Malware

ทีมนักวิจัยด้านความปลอดภัยจาก Bitdefender ได้ประกาศแจ้งเตือนแคมเปญการโจมตีภายใต้ชื่อ Operation PZChao ซึ่งเริ่มต้นเมื่อช่วงเดือนที่ผ่านมาหลังจากค้นพบมัลแวร์ที่ถูกพัฒนาขึ้นมาพิเศษเพื่อขโมยข้อมูลและแสวงหาผลกำไรจากสกุลเงินออนไลน์เสมือน

อ้างอิงจากพฤติกรรมของผู้โจมตี การใช้งานเครื่องมืออื่นๆ เข้ามาช่วยในการโจมตี Bitdefender กล่าวว่าพฤติกรรมในลักษณะนี้นั้นมีความคล้ายกับกลุ่มแฮกเกอร์ชาวจีนชื่อกลุ่ม Iron Tiger

กระบวนการโจมตีของแคมเปญ Operation PZChao นี้ผู้โจมตีจะมุ่งไปที่การแพร่กระจายไฟล์ที่โปรแกรมมัลแวร์ผ่านทางอีเมลฟิชชิ่งเพื่อให้ควบคุมระบบของเหยื่อได้ มัลแวร์ที่มีการค้นพบนั้นจะมีการติดต่อไปเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมที่อยู่ภายใต้โดเมนเนม pzchao.

Mozilla Fixes Severe Flaw in Firefox UI That Leads to Remote Code Execution

Mozilla เปิดตัว Firefox 58.0.1 เพื่อแก้ไขปัญหาด้านความปลอดภัยที่ซ่อนอยู่ในโค้ดส่วน UI ของเบราเซอร์ และสามารถถูกใช้ในการโจมตี ผ่านการสั่งรันโค้ดที่เป็นอันตราย เพื่อวาง malware หรือควบคุมเครื่องของเหยื่อได้ โดยได้รับรหัสเป็น CVE-2018-5124 คะแนนความรุนแรง CVSS เท่ากับ 8.8

Johann Hofmann วิศวกรด้านความปลอดภัยของ Mozilla จากประเทศเยอรมนี เป็นผู้ค้นพบช่องโหว่ในครั้งนี้
จากการตรวจสอบพบว่าเป็นช่องโหว่ในส่วนขององค์ประกอบบน Firefox ที่เรียกว่า "Chrome" ยกตัวอย่างเช่น menu bars, progress bars , window title bars, toolbars หรือ UI elements อื่นที่มาจากการลง Add-on ช่องโหว่ดังกล่าวจัดเป็นช่องโหว่ที่อันตรายอย่างยิ่ง เนื่องจากโค้ดนี้สามารถถูกซ่อนอยู่ภายใน iframe, loaded off-screen และสามารถทำงานภายใต้สิทธิ์ของผู้ใช้งานขณะนั้นโดยที่ไม่รู้ตัว ด้วยเหตุนี้ช่องโหว่ดังกล่าวจึงได้รับคะแนนความรุนแรง CVSS เท่ากับ 8.8 จาก 10 คะแนน

ทั้งนี้เวอร์ชั่นที่ได้รับผลกระทบได้แก่ Firefox 56.x, 57.x. และ 58.0.0 ในส่วนของ Firefox บน Android และ Firefox 52 ESR ไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แนะนำให้ผู้ใช้อัพเดทแพตช์ เพื่อแก้ไขช่องโหว่ดังกล่าวโดยด่วน

ที่มา : bleepingcomputer

(Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์เกาหลีใต้หรือ KR-CERT ออกประกาศแจ้งเตือนการโจมตีด้วยช่องโหว่ 0-day ของ Adobe Flash Player ที่ยังไม่มีการแพตช์ในตอนนี้เพื่อโจมตีผู้ใช้งานที่ใช้ Windows ในเกาหลีใต้ โดยการโจมตีครั้งนี้ KR-CERT กล่าวว่าเป็นการโจมตีจากเกาหลีเหนือ

อ้างอิงจากประกาศต่อมาจาก Adobe ช่องโหว่ที่ถูกโจมตีดังกล่าวในภายหลังถูกระบุด้วยรหัส CVE-2018-4878 ซึ่งมีที่มาจากปัญหา use-after-free ที่ทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล โดยช่องโหว่นี้ส่งผลกระทบตั้งแต่ Adobe Flash Player ตั้งแต่เวอร์ชัน 28.0.0.137 หรือเก่ากว่า

แนะนำให้ผู้ใช้งานทำการอัปเดตเวอร์ชันของ Adobe Flash Player โดยด่วน

ที่มา : thehackernews

Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems

Oracle ได้ปล่อยแพตช์การรักษาความปลอดภัยเพื่อแก้ไขปัญหาช่องโหว่ที่อาจเกิดจากการโจมตีจากระยะไกล ซึ่งส่งผลกระทบต่อเครื่อง MICROS point-of-sale (POS) ที่ถูกใช้แพร่หลายในอุตสาหกรรมด้านการบริการกว่า 300,000 ร้านค้าทั่วโลก โดยแพตช์ที่ปล่อยออกมาเป็นหนึ่งในแพตช์ Oracle เดือนมกราคม 2018 ซึ่งมีช่องโหว่ด้านความปลอดภัย 238 ช่องโหว่ในผลิตภัณฑ์ต่างๆ ของบริษัท

ช่องโหว่ (CVE-2018-2636) อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลสำคัญ ไฟล์บันทึกการบริการและไฟล์ Configuration ได้จาก MICROS workstation ที่มีช่องโหว่ โดยไม่จำเป็นที่จะต้องมีการตรวจสอบสิทธิ์ใด ๆ นักวิจัยเตือนว่า ผู้บุกรุกสามารถขโมยชื่อผู้ใช้และรหัสผ่านของฐานข้อมูลและเข้าถึงฐานข้อมูลทั้งหมดได้ นอกจากนี้ ERPScan ซึ่งเป็นผู้คนพบ ยังได้ทำการพิสูจน์การใช้ประโยชน์จาก Python ซึ่งถ้ารันบนเซิร์ฟเวอร์ MICROS ที่มีช่องโหว่ จะสามารถรันคำสั่งที่เป็นอันตรายเพื่อดึงไฟล์ข้อมูลสำคัญได้

แพทช์ Oracle ในเดือนมกราคมปีพ. ศ. 2561 ยังมีการแก้ไขปัญหาช่องโหว่ของโปรเซสเซอร์ Spectre และ Meltdown ที่มีผลต่อผลิตภัณฑ์ Oracle บางตัวอีกด้วย

ที่มา : thehackernews

Apple fixes macOS password flaw

ก่อนหน้านี้ Apple ได้พบช่องโหว่ในระบบปฏิบัติการ macOS High Sierra ที่ส่งผลให้สามารถได้สิทธิ์ root ได้โดยไม่ต้องใช้รหัสผ่าน ทำให้ Apple ต้องรีบออกอัพเดต macOS เพื่อแก้ปัญหานี้ไปตั้งแต่เมื่อวันที่ 28 พฤศจิกายนที่ผ่าน โดยใช้เวลาเพียงแค่ 24 ชั่วโมงหลังจากมีการพบช่องโหว่

ช่องโหว่นี้ได้รับรหัส CVE-2017-13872 และมีผลกระทบกับ macOS high Sierra 10.13 และ macOS high Sierra 10.13.1 เท่านั้น ไม่ส่งผลกระทบต่อ macOS Sierra 10.12.6 และเวอร์ชันก่อนหน้า

Apple ได้แนะนำให้ผู้ใช้อัพเดตทันที และตรวจสอบว่ามีการอัพเดต Security Update 2017-001
เรียบร้อยแล้วหรือไม่ โดยการ :
1. เปิด Terminal ซึ่งอยู่ใน Utilities folder ของ Applications
2. พิมพ์ what /usr/libexec/opendirectoryd กด Return
3. หากมีการติดตั้ง Security Update 2017-001 เรียบร้อยแล้วหมายเลขเวอร์ชันจะเปลี่ยนดังนี้
opendirectoryd-483.1.5 ใน macOS High Sierra 10.13
opendirectoryd-483.20.7 ใน macOS High Sierra 10.13.1

หากผู้ใช้งานต้องการใช้งาน Root User Account บน Mac จะต้องทำการ Enable Root User ใหม่อีกครั้ง และทำการเปลี่ยนรหัสผ่านของ Root หลังจากการอัพเดต

ที่มา: zdnet

Cisco Releases Security Updates

Cisco ได้ปรับปรุงแก้ไขช่องโหว่ใน WebEx Network Recording Player สำหรับรูปแบบการบันทึกไฟล์แบบ Advanced Recording Format(ARF) และ WebEx Recording Format(WRF) ซึ่งช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ Remote เข้ามาควบคุมเครื่องได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ ประกอบด้วย
• Cisco WebEx Business Suite (WBS30) client builds รุ่นก่อน T30.20
• Cisco WebEx Business Suite (WBS31) client builds รุ่นก่อน T31.14.1
• Cisco WebEx Business Suite (WBS32) client builds รุ่นก่อน T32.2
• Cisco WebEx Meetings with client builds รุ่นก่อน T31.14
• Cisco WebEx Meeting Server builds รุ่นก่อน 2.7MR

ทั้งนี้แนะนำให้ผู้ใช้งานทำการอัพเดทผลิตภัณฑ์ของตัวเองให้เป็นเวอร์ชั่นล่าสุด

ที่มา: us-cert