Gartner, Inc บริษัทวิจัยและให้คำปรึกษาชื่อดังของสหรัฐฯ ได้ประกาศ Magic Quadrant สำหรับ Enterprise Network Firewall ประจำปี 2017 ออกมา พบ Palo Alto Networks ยังคงรั้งตำแหน่งอันดับหนึ่ง ตามมาด้วย Fortinet ที่เข้ามาอยู่ในตำแหน่ง Leader เป็นครั้งแรก ส่วน Check Point อยู่ในอันดับที่ 3

Gartner ได้ให้นิยามเงื่อนไขของการเป็น Enterprise Network Firewall หรือ Next-generation Firewall คือ เป็นผลิตภัณฑ์ที่ถูกออกแบบมาเพื่อปกป้องระบบเครือข่ายขององค์กรขนาดใหญ่โดยเฉพาะ โดยต้องรองรับการติดตั้งไฟร์วอลล์แบบใช้งานได้ทุกฟังก์ชันในฮาร์ดแวร์เดียว, รองรับการติดตั้งขนาดใหญ่และซับซ้อน รวมทั้งใช้งานกับสาขา และทำ DMZ แบบหลายโซนได้ (Multitiered Demilitarized Zones) นอกจากนี้ ต้องมีตัวเลือกในการใช้งานแบบ Virtualization สำหรับ Data Center ได้

นอกจากนี้ ควรมีตัวเลือกในการติดตั้งบน Public Cloud Environment เช่น Amazon Web Service (AWS) และ Microsoft Azure รวมไปถึงมี Roadmap สำหรับ Google Cloud ภายใน 12 เดือนข้างหน้า มีความสามารถในการขยายระบบออกไปได้ขนาดใหญ่ ไม่ว่าจะเป็น Network Edge, Data Center, Branch Office, Virtualized Server และ Public Cloud รวมไปถึงสามารถบริหารจัดการระบบทั้งหมดอย่างรวมศูนย์ได้

คุณสมบัติอื่นๆ ที่ NGFW ต้องมี ได้แก่

- การบังคับใช้นโยบายด้านความมั่นคงปลอดภัยถึงระดับแอพพลิเคชันและผู้ใช้งาน
- Intrusion Prevention System (IPS), Sandboxing และ Threat Intelligence Feeds
- Advanced Malware Detection ซึ่งอาจอยู่ในรูปของระบบ Cloud เพื่อลดภาระค่าใช้จ่ายได้
- รองรับการตรวจสอบทราฟฟิกที่เข้ารหัส SSL/TLS
- รองรับการป้องกันการรั่วไหลของข้อมูลสำคัญสู่สาธารณะ

สำหรับ Magic Quadrant ปี 2017 นี้ Vendor ที่อยู่ในตำแหน่ง Leaders มีทั้งหมด 3 ราย ได้แก่ Palo Alto Networks, Fortinet และ Check Point เรียงตามลำดับ Ability to Execute โดยในปีนี้ Fortinet ได้เข้ามาสู่ตำแหน่ง Leader เป็นครั้งแรก ส่งผลให้ Fortinet ครองตำแหน่ง Leader ทั้งโซลูชัน NGFW และ UTM อย่างไรก็ตาม Vendor ที่มีส่วนแบ่งทางการตลาดมากที่สุดยังคงตกเป็นของ Cisco ซึ่งอยู่ในตำแหน่ง Challenger

“ข่าวล่าสุดของทาง Fortinet คือมีการเพิ่มโมเดลของ E Series มากขึ้น ซึ่งสนับสนุนดโดย Fortinet Security Processors เจเนอเรชันล่าสุด Fortinet ยังได้เข้าซื้อกิจการของ AccelOps และเปลี่ยนชื่อใหม่เป็น FortiSIEM อีกด้วย นอกจากนี้ จากการอัปเดตล่าสุดยังมีการเพิ่มฟีเจอร์เกี่ยวกับ Security Fabric ซึ่งมีการแลกเปลี่ยนข้อมูลและผสานการทำงานกันระหว่าง Fortinet Appliance และ FortiClient Endpoints ที่สำคัญคือ Fortinet ได้ประกาศเปิดตัว FortiCASB ซึ่งเป็น Firewall ที่เพิ่มความมั่นคงปลอดภัยของการใช้ SaaS เข้าไปด้วย” — Gartner สรุปการอัปเดตล่าสุดที่ทำให้ Fortinet เข้ามายังตำแหน่ง Leader ของ Gartner ในปีนี้

อ่านรายละเอียดเพิ่มเติมได้ที่: Gartner

Cisco ได้ประกาศออก Patch เพื่ออุด 3 ช่องโหว่ที่มีความรุนแรงระดับสูงให้กับ Cisco Prime Infrastructure, Cisco WebEx Network Recording Player และ Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) และอีก 22 ช่องโหว่ในความรุนแรงระดับที่ต่ำกว่า โดยมีรายละเอียดของช่องโหว่ความรุนแรงระดับสูงดังนี้

1. Cisco Prime Infrastructure มีช่องโหว่ XML External Entitiy (XXE) ในรุ่น 1.1 ถึง 3.1.6 ทำให้สามารถถูกโจมตีผ่านไฟล์ XML และผู้โจมตีสามารถเข้ามาอ่าน, เขียน และเรียกใช้คำสั่งต่างๆ ผ่านทางระบบที่ถูกโจมตีได้
2. Cisco WebEx Network Recording Player มีช่องโหว่ Buffer Overflow อันจะนำไปสู่การทำ DoS จนระบบหยุดทำงานและเรียกใช้คำสั่งต่างๆ บนระบบได้
3. Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) สามารถถูกโจมตีผ่าน USP Packet ทำให้เกิดการ DoS ระบบได้

Cisco ได้ออก Patch มาอุดช่องโหว่ของทั้ง 3 ผลิตภัณฑ์นี้แล้ว ส่วนอีก 22 ช่องโหว่นั้นปรากฎอยู่บน Cisco ISE, Cisco IOS XR, Cisco Firepower Management Center, Cisco SolarMiner, Cisco StarOS รวมถึงยังมีการออกอัปเดตเพิ่มเติมสำหรับอุดช่องโหว่บน OpenSSL ด้วย

สำหรับรายละเอียดของช่องโหว่ทั้งหมด สามารถติดตามได้ที่ cisco

ที่มา : techtalkthai , threatpost

Drupal เป็น CMS อีกเจ้าหนึ่งที่มีผู้นิยมใช้เยอะมาก แต่ล่าสุดมีการเปิดเผยว่าพบช่องโหว่ร้ายแรงในส่วนหลักของ Drupal ทำให้เว็บไซด์อาจถูกยึดได้ง่ายๆ

ช่องโหว่ที่พบคือ Remote Code Execution (การสั่งคำสั่งจากระยะไกล) ใน Drupal คือ version 8.0 - 8.3.3 ได้รับผลกระทบคืออาจถูกยึดเครื่องจากระยะไกลได้ โดยได้รับ CVE คือ CVE-2017-6920 ซึ่งมีเว็บไซด์จำนวนมากที่ได้รับผลกระทบ สำหรับใครที่ให้บริการแนะนำให้ทำการ update เป็น version 8.3.4 โดยด่วน

ผลกระทบ: Remote Code Execution
ระบบที่ได้รับผลกระทบ: Drupal 8.0 < 8.3.4
วิธีการแก้ไข: Update เป็น version 8.3.4

ที่มา : securityfocus

Microsoft อุดช่องโหว่จำนวนมากกว่า 92 ช่องโหว่ โดยมีช่องโหว่ที่เป็น Critical ถึง 17 ช่องโหว่และช่องโหว่ระดับสำคัญ (Important) 75 ช่องโหว่. กระทบทั้ง Edge, Internet Explorer, Office, Sharepoint, Skype for Business, Lync, และตัว Windows เอง สำคัญคือมี patch ให้ Windows XP, Windows Vista, Windows 8, Windows Server 2003 หรือ Windows Server 2003 R2 ให้อีกด้วย

Microsoft กล่าวในเรื่องการ update ให้กับ Windows รุ่นเก่าๆนั้นเพราะเป็นช่องโหว่ที่รุนแรงและหากปล่อยไปอาจส่งผลกระทบพอๆกับ WannaCry ได้นั่นเอง Microsoft จึงตัดสินใจที่จะให้บริการในการ patch ช่องโหว่ต่างๆนั่นเอง (ที่สำคัญคือ patch แต่ละตัวที่ปล่อยให้ update นั้น มีการระบุไว้ด้วยว่าจะไม่มีการตรวจสอบความถูกต้องของ License ที่ใช้งานแต่อย่างใด นั่นหมายความว่าไม่ว่าจะใช้ Windows เถื่อนหรือไม่มีการใช้งาน License ก็ยังสามารถ update ได้ปกตินั่นเอง)

ในส่วนของ patch ใน Windows version ใหม่ๆมีการติดตั้ง Patch ที่น่าสนใจหลายตัว เช่น

- ช่องโหว่ Remote Code Execution ในชุด API ที่ใช้ในการจัดการการพิมพ์ และการประมวลผล script ที่ซับซ้อน (Windows Uniscribe) ซึ่งมีข้อผิดพลาดในการจัดการ object ใน Memory (CVE-2017-0283, CVE-2017-8528)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ pdf ที่ถูกสร้างขึ้นมาพิเศษ (CVE-2017-0291 / CVE-2017-0292)
ช่องโหว่ Remote Code Execution ที่เกิดจากการจัดการไฟล์ CAB File ที่ไม่ดี ทำให้กลายเป็นติดตั้ง Malicious Driver และเกิด Remote Code Execution ได้ (CVE-2017-0294)
- ช่องโหว่ Remote Code Execution ในการเปิดไฟล์ LNK file หรือก็คือ shortcut นั่นเอง ซึ่งจะทำงานก็ต่อเมื่อ icon ของไฟล์นั้นๆถูกแสดง (CVE-2017-8464)
- ช่องโหว่ Remote Code Execution ใน Microsoft Edge Browser (CVE-2017-8496 / CVE-2017-8497)
ช่องโหว่ Remote Code Execution ใน Javascript scripting Engine ของ Microsoft Edge Browser (CVE-2017-8499, CVE-2017-8520, )
- ช่องโหว่ Remote Code Execution ใน Javascript Engine ของ Microsoft Edge Browser (CVE-2017-8517, CVE-2017-8522, CVE-2017-8524, CVE-2017-8548 / CVE-2017-8549)
- ช่องโหว่ Remote Code Execution ในการจัดการ embed font ซึ่งมีความเป็นไปได้ที่จะทำงานผ่านการ view Website ที่ฝัง font อันตรายได้ (CVE-2017-8527)
- ช่องโหว่ Remote Code Execution ใน Windows Search โดย Attacker สามารถส่ง SMB Message ไปยัง Windows Search Service ได้อีกด้วย(CVE-2017-8543)

Source:: technet.

Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer

การแพร่กระจายนั้นไม่ได้ดังแค่เฉพาะโลกของคน IT เท่านั้น ข่าวนี้ก็คงดังมากๆในเหล่า Ransomware Developer เช่นกัน จนถึงขั้นคนเขียน Ransomware ใน Android นำเอาหน้าตาของ WannaCry มาเป็น theme ของ Ransomware ที่เค้าพัฒนาเลยทีเดียว

Avast พบ Android Ransomware ที่ชื่อว่า WannaLocker (พบครั้งแรกโดยทีม security ของ Qihoo 360)
WannaLocker จะติดไฟล์ที่เก็บใน external storage ของเครื่องที่ติด ซึ่งพบว่ามีการติดในประเทศจีน และมีค่าเรียกค่าไถ่อยู่ที่ 5-6 $ ช่องทางการจ่ายเงินจะแตกต่างจาก Ransomware ใน PC นั่นคือให้จ่ายผ่าน Alipay หรือ WeChat แทนนั่นเอง โดย WannaLocker Ransomware จะกระจายผ่านเว็บไซด์ forum เกมส์ของจีน โดยตัวมันจะปลอมตัวเองเป็น plugin ของเกมส์ King of Glory หลังจากติดตั้ง มันจะทำการซ่อนตัวเองเป็น app drawer และเริ่มทำการเข้ารหัสไฟล์ใน external storage ของเครื่อง WannaLocker ใช้ AES encryption และยกเว้นไฟล์ที่ขึ้นต้นด้วย "." และไฟล์อื่นๆที่มี “DCIM”, “download”, “miad”, ”android” และ “com.

VMware ได้ออกมาแจ้งเตือนถึงการค้นพบช่องโหว่หลายรายการบน vSphere Data Protection (VDP) และออก VMSA-2017-0010 เพื่อรวมประเด็นปัญหาด้านความมั่นคงปลอดภัยเหล่านี้เอาไว้ด้วยกัน พร้อมตั้งระดับความรุนแรงเป็นระดับสูงสุด

สำหรับปัญหาแรกที่พบนั้นก็คือปัญหา VDP Java Deserialization ที่เปิดให้ผู้โจมตีสามารถทำ Remote Command Execution ได้บน VDP ส่วนอีกปัญหาหนึ่งคือการที่ VDP นั้นมีการเก็บ Credential ของ vCenter Server เอาไว้ ทำให้ผู้โจมตีสามารถเข้าถึง Credential ของ vCenter ได้จาก VDP

ทั้งนี้ VMware แนะนำให้ผู้ใช้งานทำการอัปเดต VDP ไปใช้รุ่น 6.0.5 หรือ 6.1.4 ซึ่งแก้ไขช่องโหว่เหล่านี้ไปเรียบร้อยแล้วแทนรุ่นเดิมที่ใช้งานอยู่

ที่มา: techtalkthai , vmware