Security.txt Standard Proposed, Similar to Robots.txt

นักวิจัยด้านความปลอดภัย Ed Foudil ได้นำเสนอมาตรฐานใหม่แก่ IETF ภายใต้ชื่อ security.txt (ตามแบบ robots.txt) เพื่อให้ผู้ใช้งานมีช่องทางในการติดต่อกับผู้ดูแลหรือผู้พัฒนาเว็บไซต์ในกรณีที่มีปัญหาด้านความปลอดภัยเกิดขึ้น

security.

IOS 11 UPDATE INCLUDES PATCHES FOR EIGHT VULNERABILITIES

iOS 11 มาแล้ว พร้อมแพตช์ด้านความปลอดภัยล่าสุด

แอปเปิลได้มีการประกาศ iOS 11 เมื่อวานนี้ตามเวลาในบ้านเรา โดยนอกจาก iOS 11 จะมีการเปลี่ยนแปลงทางด้านฟังก์ชันการทำงานและหน้าตาแล้ว iOS 11 ก็ยังมาพร้อมกับแพตช์ซึ่งจะช่วยปกป้องผู้ใช้งานจาก 15 ช่องโหว่อันตรายด้วยกัน

สำหรับช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้น อันดับหนึ่งเป็นของ 5 ช่องโหว่ใน Wi-Fi ของ iOS ที่ถูกค้นพบโดย Gal Beniamini จาก Google Project Zero ซึ่งสามารถทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้โดยเพียงแค่ส่งแพ็คเกตเพื่อโจมตีโมดูล Wi-Fi ที่มีช่องโหว่ โดยช่องโหว่นี้กระทบตั้งแต่ iPhone 5s จนถึงรุ่นปัจจุบัน, iPad Air จนถึงรุ่นปัจจุบัน, และ iPod touch 6th generation

นอกเหนือจากแพตช์สำหรับ iOS แล้ว แอปเปิลยังปล่อยแพตช์ให้กับ Safari 11, watchOS 4, tvOS 11 และ Xcode99 ด้วย แนะนำให้ผู้ใช้งานอัพเดตซอฟต์แวร์ที่ใช้งานเป็นเวอร์ชันปัจจุบันเพื่อปิดช่องโหว่ดังกล่าวโดยด่วน

ที่มา : threatpost

Hackers Can Remotely Access Syringe Infusion Pumps to Deliver Fatal Overdoses

(ข่าวเก่า) พบช่องโหว่ในเครื่องควบคุมการให้สารละลายทางหลอดเลือด (infusion pump) สามารถถูกโจมตีและควบคุมได้จากระยะไกล

นักวิจัยด้านความปลอดภัยอิสระ Scott Gayou ได้เปิดเผยการค้นพบ 8 ช่องโหว่ด้านความปลอดภัยในอุปกรณ์ควบคุมการให้สายละลายทางหลอดเลือดของ Medfusion รุ่น 4000 ผลิตโดย Smiths Medical ซึ่งช่องโหว่ที่ร้ายแรงที่สุดนั้นอาจทำให้ผู้โจมตีสามารถควบคุมการทำงานของอุปกรณ์ได้ หมายถึงผู้โจมตีอาจควบคุมปริมาณยาหรือสารละลายที่ให้แก่ผู้ป่วยได้

หนึ่งใน 8 ช่องโหว่นั้นคือช่องโหว่ CVE-2017-12725 ซึ่งมีคะแนน CVSS ทั้งหมด 9.8 (เต็ม 10) โดยเกิดขึ้นหากผู้ใช้อุปกรณ์ไม่ได้มีการเปลี่ยนแปลงรหัสผ่านที่ถูกตั้งมาเป็นค่าเริ่มต้น ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์แบบไร้สายได้ด้วยรหัสผ่านเริ่มต้นดังกล่าว นอกเหนือจากนั้นอุปกรณ์ยังมีช่องโหว่ buffer overlow (CVE-2017-12718) ที่ทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ remote code execution ด้วย

ช่องโหว่ทั้งหมดส่งผลกระทบกับเฟิร์มแวร์ของอุปกรณ์ในรุ่น 1.1, 1.5 และ 1.6 โดยทาง Smiths Medical มีการประกาศว่าเฟิร์มแวร์รุ่นใหม่ (1.6.1) ซึ่งแก้ปัญหาด้านความปลอดภัยทั้งหมดแล้ว จะถูกปล่อยออกมาในเดือนมกราคม 2018 นี้

ที่มา : The Hacker News

VEVO Music Video Service Hacked – 3.12TB of Internal Data Leaked

OurMine เป็นกลุ่มแฮกเกอร์ Saudi Arabian ที่มีประวัติการแฮ็คบัญชี social มามากมายเช่น Facebook CEO Mark Zuckerberg, Google CEO Sundar Pichai, Twitter CEO Jack Dorsey, Game of Thrones, Sony's PlayStation Network (PSN), Netflix, the WWE, HBO, และ WikiLeaks

OurMine ทำการแฮ็ค Vevo Music Video Online ได้ข้อมูลภายในออกไปประมาณ 3.12 เทราไบต์ ซึ่งเป็นข้อมูลเอกสาร documents, videos, promotion และยังสามารถจัดการกับข้อมูลที่มีความ sensitive หลังจากได้เจาะเข้าสู่ Server Vevo ได้สำเร็จ จากนั้นกลุ่มแฮ็คเกอร์ได้ทำการโพสเอกสารต่างๆ ที่ได้มาลงบนเว็บไซต์ของตนเอง และก็ได้ทำการลบข้อมูลออกจากหน้าเว็บไซต์หลังจากมีการมีคำร้องขอจาก Vevo

ยังไม่เป็นที่ทราบแน่ชัดว่าแฮ็กเกอร์เข้าถึงระบบ Vevo ได้นานเท่าใดและสามารถเข้าถึง server ได้อย่างไร รวมไปถึงข้อมูลอื่นๆ ที่แฮ็คเกอร์อาจจะได้ไป เช่น อีเมล เอกสารทางการเงินและรหัสผ่าน

ที่มา : The Hacker News

Massive Wave of MongoDB Ransom Attacks Makes 26,000 New Victims

การโจมตีเพื่อเรียกค่าไถ่กับฐานข้อมูล MongoDB ละลอกใหม่ โดยนักวิจัยเรียกการโจมตีนี้ว่า “MongoDB Apocalypse” โดยจะทำการสแกนในอินเตอร์เพื่อค้นหาฐานข้อมูล MongoDB ที่อนุญาตให้มีการเชื่อมต่อจากภายนอกได้ แล้วทำการลบข้อมูลและแทนที่ด้วยข้อความเรียกค่าไถ่ ณ ปัจจุบันมีฐานข้อมูลที่โดนโจมตีมากถึง 45,000 แห่ง และยังแพร่กระจายไปยังเทคโนโลยีเซิร์ฟเวอร์อื่นๆ เช่น ElasticSearch, Hadoop, CouchDB, Cassandra และเซิร์ฟเวอร์ MySQL ปัจจุบันมีกลุ่มใหม่ 3 กลุ่มปรากฏในการโจมตีละลอกใหม่และทำให้เกิดผู้เสียหายรวมแล้วมากถึง 26,000 รายโดยมี Email address ดังนี้
1. cru3lty@safe-mail.

Apache Tomcat Remote Code Execution via JSP Upload

พบช่องโหว่บนเว็บแอปพลิเคชันเซิร์ฟเวอร์ Apache Tomcat 7.0.0 ถึง 7.0.79 บนระบบปฏิบัติการวินโดวส์ที่มีการเปิดรับรีเควสต์ HTTP เมธอด PUT (ด้วยการตั้งค่าที่พารามิเตอร์ readonly ใน DefaultServlet ให้เป็น false) ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ JSP ที่เป็นอันตรายผ่านรีเควสต์ในลักษณะดังกล่าวและรันไฟล์ที่่เป็นอันตรายได้

ผู้ใช้งานที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวแนะนำให้ทำการอัพเกรดรุ่นของ Apache Tomcat ให้เป็น 7.0.81 เพื่อลดความเสี่ยงจากการโจมตีระบบด้วยช่องโหว่นี้

ที่มา: Apache Tomcat Security Team

CCleanup: A Vast Number of Machines at Risk

นักวิจัยด้านปลอดภัยจาก Cisco Talos เตือนผู้ใช้ที่ดาวน์โหลดโปรแกรม CCleaner เวอร์ชั่น 5.33 โปรแกรมกำจัดขยะในคอมพิวเตอร์ยอดฮิตในวันที่ระหว่าง 15 สิงหาคม - 12 กันยายน เนื่องจากพบว่าโปรแกรมดังกล่าวได้ถูกฝัง Floxif มัลแวร์ไว้ โดยมัลแวร์ดังกล่าวจะทำหน้าที่เก็บข้อมูลของเครื่องเหยื่อและส่งไปยัง C&C Server

สำหรับตอนนี้ CCleaner ได้ออกเวอร์ชั่นใหม่ 5.34 แล้ว โดยแนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม

แนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม

ที่มา : TALOS

Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory

แจ้งเตือนช่องโหว่ OPTIONSBLEED บน Apache2 ข้อมูลในหน่วยความจำรั่วไหลได้
นักวิจัยด้านความปลอดภัย Hanno Böck ได้ออกมาประกาศการค้นพบช่องโหว่ใหม่บน Apache ที่รหัส CVE-2017-9798 ซึ่งอาจส่งผลให้ข้อมูลที่อยู่บนหน่วยความจำรั่วไหลออกมาได้เพียงแค่ส่ง HTTP request โดยใช้เมธอด OPTIONS

เมธอด OPTIONS บนโปรโตคอล HTTP เป็นเมธอดที่ทำให้ผู้ร้องขอข้อมูลโดยใช้เมธอดดังกล่าวเห็นได้ว่าเว็บเซิร์ฟเวอร์ให้บริการการเข้าถึงข้อมูลด้วยเมธอดใดบ้าง โดยเมื่อเว็บเซิร์ฟเวอร์ได้รับการร้องขอข้อมูลด้วยเมธอด OPTIONS เว็บเซิร์ฟเวอร์จะทำการตอบกลับด้วยข้อความ Allow เพื่อด้วยชื่อเมธอดที่สามารถใช้งานได้ เช่น Allow: GET, POST, OPTIONS

ที่มาของช่องโหว่ดังกล่าวมาจากการที่ Apache มีการตั้งค่า (directive) ชื่อว่า "Limit" ที่สามารถใช้จำกัดการใช้งานเมธอดในรายผู้ใช้งานได้ ช่องโหว่เกิดขึ้นเมื่อการตั้งค่าชื่อเมธอดของ Limit ในไฟล์ .htaccess นั้นไม่ได้เป็นเมธอดที่ถูกต้อง ส่งผลให้เกิดช่องโหว่ use-after-free เมื่อเว็บเซิร์ฟเวอร์พยายามส่งข้อความ Allow กลับซึ่งทำให้ข้อมูลในหน่อยความจำรั่วไหลได้

ในด้านของความเสียหายนั้น OPTIONSBLEED สร้างความเสียหายน้อยมากเมื่อเทียบกับ Heartbleed เนื่องจากข้อมูลที่รั่วไหลออกมาจากหน่อยความจำนั้นมีน้อยกว่า และไม่ได้ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ไม่ได้มีการเปลี่ยนแปลงค่าใดๆ เมื่อติดตั้ง จะส่งผลหากเว็บเซิร์ฟเวอร์มีการตั้งค่าที่ผิดเท่านั้น

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการอัพเดตรุ่นของ Apache ให้เป็นรุ่นล่าสุด หรือทำการใช้แพตช์เฉพาะซึ่งสามารถดาวโหลดได้จากแหล่งที่มา

ที่มา : The Fuzzing Project

Exploit Available for Critical Apache Struts Vulnerability

นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด

CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้

โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว

ที่มา : SECURITYWEEK

Massive Email Campaign Sends Locky Ransomware to Over 23 Million Users

นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)

แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)

ที่มา : The Hacker News