(ข่าวเก่า) พบช่องโหว่ในเครื่องควบคุมการให้สารละลายทางหลอดเลือด (infusion pump) สามารถถูกโจมตีและควบคุมได้จากระยะไกล

นักวิจัยด้านความปลอดภัยอิสระ Scott Gayou ได้เปิดเผยการค้นพบ 8 ช่องโหว่ด้านความปลอดภัยในอุปกรณ์ควบคุมการให้สายละลายทางหลอดเลือดของ Medfusion รุ่น 4000 ผลิตโดย Smiths Medical ซึ่งช่องโหว่ที่ร้ายแรงที่สุดนั้นอาจทำให้ผู้โจมตีสามารถควบคุมการทำงานของอุปกรณ์ได้ หมายถึงผู้โจมตีอาจควบคุมปริมาณยาหรือสารละลายที่ให้แก่ผู้ป่วยได้

หนึ่งใน 8 ช่องโหว่นั้นคือช่องโหว่ CVE-2017-12725 ซึ่งมีคะแนน CVSS ทั้งหมด 9.8 (เต็ม 10) โดยเกิดขึ้นหากผู้ใช้อุปกรณ์ไม่ได้มีการเปลี่ยนแปลงรหัสผ่านที่ถูกตั้งมาเป็นค่าเริ่มต้น ทำให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์แบบไร้สายได้ด้วยรหัสผ่านเริ่มต้นดังกล่าว นอกเหนือจากนั้นอุปกรณ์ยังมีช่องโหว่ buffer overlow (CVE-2017-12718) ที่ทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ remote code execution ด้วย

ช่องโหว่ทั้งหมดส่งผลกระทบกับเฟิร์มแวร์ของอุปกรณ์ในรุ่น 1.1, 1.5 และ 1.6 โดยทาง Smiths Medical มีการประกาศว่าเฟิร์มแวร์รุ่นใหม่ (1.6.1) ซึ่งแก้ปัญหาด้านความปลอดภัยทั้งหมดแล้ว จะถูกปล่อยออกมาในเดือนมกราคม 2018 นี้

ที่มา : The Hacker News

OurMine เป็นกลุ่มแฮกเกอร์ Saudi Arabian ที่มีประวัติการแฮ็คบัญชี social มามากมายเช่น Facebook CEO Mark Zuckerberg, Google CEO Sundar Pichai, Twitter CEO Jack Dorsey, Game of Thrones, Sony's PlayStation Network (PSN), Netflix, the WWE, HBO, และ WikiLeaks

OurMine ทำการแฮ็ค Vevo Music Video Online ได้ข้อมูลภายในออกไปประมาณ 3.12 เทราไบต์ ซึ่งเป็นข้อมูลเอกสาร documents, videos, promotion และยังสามารถจัดการกับข้อมูลที่มีความ sensitive หลังจากได้เจาะเข้าสู่ Server Vevo ได้สำเร็จ จากนั้นกลุ่มแฮ็คเกอร์ได้ทำการโพสเอกสารต่างๆ ที่ได้มาลงบนเว็บไซต์ของตนเอง และก็ได้ทำการลบข้อมูลออกจากหน้าเว็บไซต์หลังจากมีการมีคำร้องขอจาก Vevo

ยังไม่เป็นที่ทราบแน่ชัดว่าแฮ็กเกอร์เข้าถึงระบบ Vevo ได้นานเท่าใดและสามารถเข้าถึง server ได้อย่างไร รวมไปถึงข้อมูลอื่นๆ ที่แฮ็คเกอร์อาจจะได้ไป เช่น อีเมล เอกสารทางการเงินและรหัสผ่าน

ที่มา : The Hacker News

การโจมตีเพื่อเรียกค่าไถ่กับฐานข้อมูล MongoDB ละลอกใหม่ โดยนักวิจัยเรียกการโจมตีนี้ว่า “MongoDB Apocalypse” โดยจะทำการสแกนในอินเตอร์เพื่อค้นหาฐานข้อมูล MongoDB ที่อนุญาตให้มีการเชื่อมต่อจากภายนอกได้ แล้วทำการลบข้อมูลและแทนที่ด้วยข้อความเรียกค่าไถ่ ณ ปัจจุบันมีฐานข้อมูลที่โดนโจมตีมากถึง 45,000 แห่ง และยังแพร่กระจายไปยังเทคโนโลยีเซิร์ฟเวอร์อื่นๆ เช่น ElasticSearch, Hadoop, CouchDB, Cassandra และเซิร์ฟเวอร์ MySQL ปัจจุบันมีกลุ่มใหม่ 3 กลุ่มปรากฏในการโจมตีละลอกใหม่และทำให้เกิดผู้เสียหายรวมแล้วมากถึง 26,000 รายโดยมี Email address ดังนี้
1. cru3lty@safe-mail.

พบช่องโหว่บนเว็บแอปพลิเคชันเซิร์ฟเวอร์ Apache Tomcat 7.0.0 ถึง 7.0.79 บนระบบปฏิบัติการวินโดวส์ที่มีการเปิดรับรีเควสต์ HTTP เมธอด PUT (ด้วยการตั้งค่าที่พารามิเตอร์ readonly ใน DefaultServlet ให้เป็น false) ซึ่งทำให้ผู้โจมตีสามารถอัปโหลดไฟล์ JSP ที่เป็นอันตรายผ่านรีเควสต์ในลักษณะดังกล่าวและรันไฟล์ที่่เป็นอันตรายได้

ผู้ใช้งานที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวแนะนำให้ทำการอัพเกรดรุ่นของ Apache Tomcat ให้เป็น 7.0.81 เพื่อลดความเสี่ยงจากการโจมตีระบบด้วยช่องโหว่นี้

ที่มา: Apache Tomcat Security Team

นักวิจัยด้านปลอดภัยจาก Cisco Talos เตือนผู้ใช้ที่ดาวน์โหลดโปรแกรม CCleaner เวอร์ชั่น 5.33 โปรแกรมกำจัดขยะในคอมพิวเตอร์ยอดฮิตในวันที่ระหว่าง 15 สิงหาคม - 12 กันยายน เนื่องจากพบว่าโปรแกรมดังกล่าวได้ถูกฝัง Floxif มัลแวร์ไว้ โดยมัลแวร์ดังกล่าวจะทำหน้าที่เก็บข้อมูลของเครื่องเหยื่อและส่งไปยัง C&C Server

สำหรับตอนนี้ CCleaner ได้ออกเวอร์ชั่นใหม่ 5.34 แล้ว โดยแนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม

แนะนำให้ทำการ Restore ระบบกลับไปยังวันก่อนหน้าที่ติดตั้งโปรแกรม

ที่มา : TALOS

แจ้งเตือนช่องโหว่ OPTIONSBLEED บน Apache2 ข้อมูลในหน่วยความจำรั่วไหลได้
นักวิจัยด้านความปลอดภัย Hanno Böck ได้ออกมาประกาศการค้นพบช่องโหว่ใหม่บน Apache ที่รหัส CVE-2017-9798 ซึ่งอาจส่งผลให้ข้อมูลที่อยู่บนหน่วยความจำรั่วไหลออกมาได้เพียงแค่ส่ง HTTP request โดยใช้เมธอด OPTIONS

เมธอด OPTIONS บนโปรโตคอล HTTP เป็นเมธอดที่ทำให้ผู้ร้องขอข้อมูลโดยใช้เมธอดดังกล่าวเห็นได้ว่าเว็บเซิร์ฟเวอร์ให้บริการการเข้าถึงข้อมูลด้วยเมธอดใดบ้าง โดยเมื่อเว็บเซิร์ฟเวอร์ได้รับการร้องขอข้อมูลด้วยเมธอด OPTIONS เว็บเซิร์ฟเวอร์จะทำการตอบกลับด้วยข้อความ Allow เพื่อด้วยชื่อเมธอดที่สามารถใช้งานได้ เช่น Allow: GET, POST, OPTIONS

ที่มาของช่องโหว่ดังกล่าวมาจากการที่ Apache มีการตั้งค่า (directive) ชื่อว่า "Limit" ที่สามารถใช้จำกัดการใช้งานเมธอดในรายผู้ใช้งานได้ ช่องโหว่เกิดขึ้นเมื่อการตั้งค่าชื่อเมธอดของ Limit ในไฟล์ .htaccess นั้นไม่ได้เป็นเมธอดที่ถูกต้อง ส่งผลให้เกิดช่องโหว่ use-after-free เมื่อเว็บเซิร์ฟเวอร์พยายามส่งข้อความ Allow กลับซึ่งทำให้ข้อมูลในหน่อยความจำรั่วไหลได้

ในด้านของความเสียหายนั้น OPTIONSBLEED สร้างความเสียหายน้อยมากเมื่อเทียบกับ Heartbleed เนื่องจากข้อมูลที่รั่วไหลออกมาจากหน่อยความจำนั้นมีน้อยกว่า และไม่ได้ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์ไม่ได้มีการเปลี่ยนแปลงค่าใดๆ เมื่อติดตั้ง จะส่งผลหากเว็บเซิร์ฟเวอร์มีการตั้งค่าที่ผิดเท่านั้น

แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการอัพเดตรุ่นของ Apache ให้เป็นรุ่นล่าสุด หรือทำการใช้แพตช์เฉพาะซึ่งสามารถดาวโหลดได้จากแหล่งที่มา

ที่มา : The Fuzzing Project

นักวิจัยจากทีม lgtm นำโดย Man Yue Mo ค้นพบช่องโหว่ CVE-2017-9805 ที่มีผลกระทบต่อ Struts ตั้งแต่รุ่น 2.5 ขึ้นมาทั้งหมด

CVE-2017-9805 เป็นช่องโหว่มาจาก REST API plugin ที่เป็นช่องทางในการสื่อสารของ Struts servers และยังใช้งานบัคของโปรแกรมที่อนุญาตให้ส่งข้อมูลจากแหล่งที่ไม่น่าเชื่อถือได้ โดยเรียกกระบวนการนี้ว่า
unsafe deserialization ทั้งหมดนี้สามารถทำให้ผู้ไม่ประสงค์ดีรันโค้ดจากระยะไกลได้

โดยตอนนี้ทาง Apache ได้ปล่อย Struts 2.5.13 แก้ไขช่องโหว่นี้แล้ว

ที่มา : SECURITYWEEK

นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)

แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)

ที่มา : The Hacker News

นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้

Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้

Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า

ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้

Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย

Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม

ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่

ที่มา : BLEEPINCOMPUTER

Cex, หนึ่งใน Website ตัวกลางรายใหญ่ที่ทำหน้าเป็นตัวกลางในการซื้อขายอุปกรณ์ IT เช่น ชิ้นส่วนคอมพิวเตอร์, เกมส์, ภาพยนต์, อัลบั้มเพลงเก่าและอื่นๆ ได้ออกมาให้ข่าวว่าถูก Hacker เจาะระบบและขโมยข้อมูล

ทางบริษัทกำลังติดต่อลูกค้าทุกคนที่คาดว่าได้รับผลกระทบจากเหตุการณ์นี้ ทาง Cex ได้มีการกล่าวเพิ่มเติมเกี่ยวกับผลกระทบของข้อมูลที่หลุดไปว่า ข้อมูลที่ Hacker ได้ไปนั้นรวมไปถึงข้อมูลเช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์และอีเมล ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ถูกเก็บอยู่ในฐานข้อมูลจำนวนกว่า 2,000,000 รายการ อย่างไรก็ตาม Cex ได้หยุดเก็บรายละเอียดของบัตร credit และ debit ตั้งแต่ปี 2009 ทำให้ข้อมูลที่ Hacker สามารถขโมยไปได้ในตอนนั้นหมดอายุแล้วในเวลานี้และไม่สามารถใช้งานได้อีก

หากใครได้รับอีเมลจาก Cex แนะนำให้ปฏิบัติตามโดยการแก้ไขข้อมูลรหัสผ่านให้เหมาะสม

ที่มา : BLEEPINCOMPUTER