นักวิจัยด้านความปลอดภัยจาก 2 บริษัท พบแคมปญการส่งอีเมล์ที่มีการแพร่กระจาย Locky ransomware ถึง 2 ครั้ง
แคมเปญแรกพบโดยนักวิจัยจาก AppRiver มีการส่งเมล์ 23 ฉบับภายใน 24 ชั่วโมง เมื่อวันที่ 28 สิงหาคมที่ผ่านมา ในสหรัฐอเมริกา โดยอีเมล์ที่ส่งออกมานั้นจะมีข้อความที่คลุมเคลือเพื่อหลอกให้ผู้ใช้คลิก เช่น “กรุณาสั่งพิมพ์”, “เอกสาร”, “รูป”, “ภาพ”, “สแกน” และอีเมล์จะมาพร้อมกับไฟล์ ZIP ที่มี Visual Basic Script (VBS) เมื่อเหยื่อคลิกเปิดไฟล์ ก็จะเริ่มดาวน์โหลด Locky ransomware ตัวล่าสุดที่ชื่อ Lukitus (หมายถึง "ล็อก" เป็นภาษาฟินแลนด์) แล้วเข้ารหัสไฟล์ทั้งหมดในเครื่องของเหยื่อ และใส่สกุลไฟล์ว่า [.]lukitus จากนั้นจะแสดงข้อความบน desktop และให้เหยื่อดาวน์โหลดและติดตั้งชื่อ Tor บน browser เพื่อเข้าเว็บไซต์ของผู้โจมตีสำหรับจ่ายเงินเป็นจำนวน 0.5 Bitcoin (~$2,300)

แคมเปญฉบับที่ 2 ในเดือนสิงหาคม พบโดยบริษัท Comodo Labs เป็นการส่งผ่านอีเมลจำนวนมากกว่า 62,000 ฉบับ ที่มีการฝัง Locky ransomware สายพันธุ์ใหม่ที่ชื่อว่า KARUSdilapidated โดยใช้ที่อยู่ไอพีที่ต่างกันถึง 11,625 IP ใน 133 ประเทศ ลักษณะคล้ายโดนโจมตีผ่านเครื่องซอมบี้หรือบอทเน็ตในการช่วยกระจายเมล์ ซึ่งหากต้องการไฟล์คืนก็จะต้องจ่ายเงิน อยู่ระหว่าง 0.5 Bitcoin (~$2,311) และ 1 Bitcoin (~$4,623)

ที่มา : The Hacker News

นักวิจัยด้านความปลอดภัยพบช่องโหว่ 5 จุดบนเฟิร์มแวร์ที่กำลังใช้งานอยู่บนโมเด็ม Arris ซึ่งถูกแจกโดย AT&T โดย 3 ใน 5 ช่องโหว่ดังกล่าวเป็นบัญชีการเข้าใช้งานผ่านช่องทางลับซึ่งฝังอยู่ในอุปกรณ์ ผู้โจมตีสามารถใช้บัญชีใดก็ได้ก็ไดในสามบัญชีนี้เพื่อเข้าควบคุมเครื่องของเหยื่อ รายละเอียดช่องโหว่ทั้ง 5 มีดังนี้

Backdoor 1: โดยปกติ modem จะเปิดใช้งาน SSH ไว้เป็นค่า default และสามารถเข้าถึงได้จากภายนอก นั่นหมายความว่าผู้โจมตีสามารถใช้ ชื่อผู้ใช้งาน "remotessh" และรหัสผ่าน "5SaP9I26" ซึ่งเป็นค่า default ในการเข้ามา authen เครื่องด้วยสิทธิ์ root นั่นหมายความว่าสามารถจะทำอะไรกับเครื่องนั้นก็ได้

Backdoor 2: Arris จะมี built-in web server ที่ทำงานอยู่ใน internal admin panel ซึ่งผู้โจมตีสามารถผ่านการระบุตัวตนผ่าน port 49955 ด้วยชื่อ “tech” และรหัสผ่านแบบเปล่า

ช่องโหว่ Command injection: เกี่ยวข้องกับ built-in web server ตัวเดิม ซึ่งมีช่องโหว่ให้ผู้โจมตีทำการสั่ง run shell command บน web server ได้

Backdoor 3: ผู้โจมตีสามารถใช้ชื่อผู้ใช้งาน "bdctest" และรหัสผ่าน "bdctest" เพื่อเข้าสู่ระบบผ่าน port 61001 โดยจะต้องรู้ serial number ของตัวเครื่องเพื่อเข้าสู่ระบบทางช่องทางนี้ด้วย

Firewall bypass: ผู้โจมตีสามารถสร้าง HTTP request ที่ถูกปรับแต่งขึ้นมาโดยส่งผ่าน port 49152 ทำให้ผู้โจมตีสามารถ bypass internal firewall ของตัวอุปกรณ์และเปิดการเชื่อมต่อ TCP proxy กับตัวเครื่องซึ่งจะทำให้ผู้โจมตีใช้งานช่องโหว่ที่เหลืออีก 4 จุดได้ ถึงแม้ว่าผู้ใช้งานจะทำการเปิด on-device firewall แล้วก็ตาม

ในขณะนี้ยังตรวจไม่พบการโจมตีผ่านทางช่องโหว่ทั้ง 5 ช่องโหว่ดังกล่าว แต่ก็ควรเพิ่มการระมัดระวังหากมีการใช้งานอุปกรณ์เหล่านี้อยู่

ที่มา : BLEEPINCOMPUTER

Cex, หนึ่งใน Website ตัวกลางรายใหญ่ที่ทำหน้าเป็นตัวกลางในการซื้อขายอุปกรณ์ IT เช่น ชิ้นส่วนคอมพิวเตอร์, เกมส์, ภาพยนต์, อัลบั้มเพลงเก่าและอื่นๆ ได้ออกมาให้ข่าวว่าถูก Hacker เจาะระบบและขโมยข้อมูล

ทางบริษัทกำลังติดต่อลูกค้าทุกคนที่คาดว่าได้รับผลกระทบจากเหตุการณ์นี้ ทาง Cex ได้มีการกล่าวเพิ่มเติมเกี่ยวกับผลกระทบของข้อมูลที่หลุดไปว่า ข้อมูลที่ Hacker ได้ไปนั้นรวมไปถึงข้อมูลเช่น ชื่อ-นามสกุล, ที่อยู่, เบอร์โทรศัพท์และอีเมล ซึ่งล้วนแล้วแต่เป็นข้อมูลที่ถูกเก็บอยู่ในฐานข้อมูลจำนวนกว่า 2,000,000 รายการ อย่างไรก็ตาม Cex ได้หยุดเก็บรายละเอียดของบัตร credit และ debit ตั้งแต่ปี 2009 ทำให้ข้อมูลที่ Hacker สามารถขโมยไปได้ในตอนนั้นหมดอายุแล้วในเวลานี้และไม่สามารถใช้งานได้อีก

หากใครได้รับอีเมลจาก Cex แนะนำให้ปฏิบัติตามโดยการแก้ไขข้อมูลรหัสผ่านให้เหมาะสม

ที่มา : BLEEPINCOMPUTER

ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point

ที่มา : NRI-SECURE

นักวิจัยด้านความปลอดภัยจาก Proofpoint ค้นพบมัลแวร์บนตู้ ATM ตัวใหม่ที่ประเทศเม็กซิโก เรียกว่า “GreenDispenser” ที่ช่วยให้แฮกเกอร์สามารถถอนเงินสดจากตู้ ATM ได้ตามต้องการ และเตือนให้ระวังมัลแวร์จะแพร่กระจายสู่ทั่วทุกมุมโลกในเร็วๆ นี้
GreenDispenser หลังจากที่มัลแวร์ถูกติดตั้ง หน้าจอเครื่อง ATM จะแสดงข้อความ “We regret his ATM is temporary out of service.

Hilton เครือโรงแรมชั้นนำระดับโลก ได้ออกมาแถลงข่าวว่าถูกแฮกระบบ Sales ของโรงแรม และถูกขโมยข้อมูลบัตรเครดิตของลูกค้าไป โดยมีการคาดการณ์ว่าการถูกโจมตีครั้งนี้มีต้นตอมาจากมัลแวร์ที่ถูกติดตั้งลงไปยังเครื่อง Point-of-Sale (POS) ของทางโรงแรมทั่วประเทศสหรัฐอเมริกา
ทั้งนี้ยังไม่มีการเปิดเผยจำนวนของข้อมูลบัตรเครดิตที่ถูกขโมยออกไป แต่จากการตรวจสอบของทาง VISA พบว่า มัลแวร์นี้ฝังตัวอยู่นระบบของ Hilton ตั้งแต่วันที่ 21 เดือนเมษายน จนถึงวันที่ 27 กรกฎาคมที่ผ่านมานี้ และนี่ไม่ใช่ครั้งแรกของธุรกิจชื่อดังที่ถูกโจมตีในลักษณะนี้ โดยในปี 2014 ที่ผ่านมา ทั้ง Target, Home Dopot และ UPS ต่างก็เคยถูกโจมตีมาแล้วเช่นกัน

ที่มา : theregister

นักวิจัยด้านความปลอดภัย Kristian Erik Hermansen ค้นพบช่องโหว่ 0-day ในอุปกรณ์ Fireeye ช่องโหว่นี้อยู่บนสคริป PHP ซึ่งอนุญาตให้ผู้โจมตีสามารถเข้าถึงไฟล์ต่างๆ บนเว็บเซิฟเวอร์ได้ (Local File Disclosure)

นักวิจัยด้านความปลอดภัยยังได้ค้นพบอีกด้วยว่า Web Server รันอยู่บนสิทธิ์ของ root ที่เป็นผู้ใช้งานที่มีสิทธิ์สูงที่สุดบน Linux โค้ดที่ใช้สำหรับโจมตีช่องโหว่ 0-day ดังกล่าวถูกเผยแพร่ลงบนเว็บไซต์ exploit-db.

Kaspersky ประกาศออกแพทช์แก้ไขช่องโหว่ร้ายแรงบนผลิตภัณฑ์ Kaspersky Anti-Virus ที่ถูกค้นพบและเปิดเผยโดยวิศวกรด้านความปลอดภัยของ Google เมื่อสัปดาห์ที่ผ่านมา

Tavis Ormandy วิศวกรจาก Google ได้รายงานว่าพบช่องโหว่บน Kaspersky Anti-Virus เวอร์ชั่น 2015, 2016 พร้อมทั้งโพสรูปบนทวิตเตอร์ส่วนตัวว่าสามารถโจมตี Kaspersky Anti-Virus ได้สำเร็จ แต่ยังไม่ได้รับการยืนยันว่า Kaspersky Internet Security และผลิตภัณฑ์อื่นๆ จะมีช่องโหว่ดังกล่าวนี้ด้วยหรือไม่

อย่างไรก็ตาม Tavis Ormandy ไม่ได้บอกรายละเอียดเกี่ยวกับช่องโหว่นี้ บอกแต่ว่าเป็นช่องโหว่ Buffer Overflow บนโปรแกรมที่ตั้งค่าแบบพื้นฐานหรือ default configuration หลังจากที่ได้รายงานช่องโหว่ดังกล่าว ทาง Kaspersky ได้มีการออกแพทช์เพื่อแก้ไขช่องโหว่นี้ ผ่านทางการอัพเดทแบบอัตโนมัติให้กับผู้ใช้ Kaspersky Anti-Virus แล้วภายใน 24 ชั่วโมง

ที่มา : securityweek

Cisco ประกาศออกแพทช์แก้ไขช่องโหว่ที่อนุญาตผู้ไม่ประสงค์ดีสามารถเขียนไฟล์ระบบ ทับไฟล์เดิม (Remote File Overwrite) บนอุปกรณ์ Integrated Management Controller (IMC) Supervisor และ UCS Director products

อย่างไรก็ตามทาง Cisco ได้อธิบายรายละเอียดของช่องโหว่นี้ว่า เกิดขึ้นจากการรับค่าที่ไม่ปลอดภัยจาก User มาประมวลผลใน JavaServer Page (JSP) ส่งผลกระทบให้ผู้โจมตีสามารถเขียนไฟล์ระบบทับไฟล์เดิมได้ และทำให้เกิด Denial-of-Service (DoS) บนอุปกรณ์

สำหรับระบบที่ได้รับผลกระทบจากช่องโหว่ Remote File Overwrite ได้แก่ Cisco IMC Supervisor เวอร์ชั่นก่อน 1.0.0.1 เช่นเดียวกับ Cisco USC Director ก่อนเวอร์ชั่น 5.2.0.1 หากระบบที่ใช้การตั้งค่าพื้นฐานหรือ default configuration จะได้รับผลกระทบโดยตรง คำแนะนำผู้ดูแลระบบควรอัพเกรดระบบเพื่อแก้ไขช่องโหว่โดยเร็ว

ที่มา : tripwire

พบช่องโหว่ที่อันตรายใน WhatsApp เวอร์ชั่น Web มีผู้ใช้งานมากกว่า 200 ล้านคนที่ตกอยู่ในความเสี่ยง
Kasif Dekel นักวิจัยด้านความปลอดภัยจาก Check Point พบช่องโหว่ของ WhatsApp vCard ที่ทำให้ผู้ไม่ประสงค์ดีสามารถโจมตี สามารถทำให้ผู้ใช้งานดาวน์โหลดมัลแวร์หรือ ransomware เข้าไปในคอมพิวเตอร์ได้ทันที

นอกจากนี้ ช่องโหว่สามารถทำได้ง่ายเพียงแค่สร้าง .Bat ไฟล์และส่งข้อความไปให้เพื่อนหรือผู้ใช้คนอื่นๆ เมื่อผู้ใช้คลิ๊กเปิดไฟล์ ก็จะรันมัลแวร์หรือโค้ดอันตรายซึ่งอาจส่งผลกระทบโดยตรง เช่น เครื่องถูกยึดอย่างสมบูรณ์, ถูก Monitor การใช้งานต่างๆ, ใช้เครื่องเหยื่อเพื่อแพร่กระจายไวรัส เป็นต้น

ทีมด้านความปลอดภัยของ WhatsApp ได้อัพเดทเพื่อแก้ไขช่องโหว่นี้ใน Web Client แล้ว ซึ่งช่องโหว่นี้จะกระทบกับผู้ใช้ WhatsApp เวอร์ชั่นก่อน V0.1.4481

ที่มา : thehackernews