พบการโจมตี 5 ขั้นตอน ที่สามารถแอบเปลี่ยนเส้นทาง Model Context Protocol (MCP) traffic ของ Claude Code ให้วิ่งผ่าน Infrastructure ที่ผู้โจมตีควบคุมอยู่ ส่งผลให้สามารถดักจับ OAuth bearer tokens ซึ่งใช้สำหรับเข้าถึงแพลตฟอร์ม SaaS เช่น Jira, Confluence และ GitHub ได้ (more…)

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

Etherparty ออกมาประกาศเมื่อวันที่ 1 ตุลาคม 2017 ว่าเว็บไซต์ของ ICO (Initial Coin Offering) ที่มีการปล่อยขาย tokens สำหรับเครื่องมือ smart contract บน blockchain ถูกแฮ็ก และเว็บไซต์จริงที่ลูกค้าโอนเงินไปเพื่อซื้อ tokens ถูกสับเปลี่ยนเป็นเว็บไซต์ที่ควบคุมโดยแฮ็กเกอร์

Etherparty บริษัทที่ให้บริการเครื่องมือสำหรับการสร้าง smart contract บน blockchain ซึ่งตั้งอยู่ที่ Vancouver ประเทศแคนาดา ซึ่งบริษัทที่มีธุรกิจลักษณะนี้จะมีรายได้จากการเปิดบริการ ICO ทำให้มีรายได้มาจากหลายแหล่ง ดังเช่น Etherparty ที่ได้มีการเปิดให้ซื้อ token ไปตั้งแต่วันที่ 1 ตุลาคม 2017 ในเวลา 9 โมงเช้าตามเวลาท้องถิ่น แต่หลังจากเปิดได้เพียง 45 นาทีก็พบว่าถูกแฮ็ก รายละเอียดจากรายงานของ Etherparty team ระบุว่าทางทีมใช้เวลาเพียง 15 นาทีในการปิดเว็บไซต์ปลอมดังกล่าว และใช้เวลาทั้งหมดราวชั่วโมงครึ่งในการแก้ปัญหาทั้งหมด หลังจากนั้นเวลา 11:35 ตามเวลาท้องถิ่น เว็บไซต์ก็สามารถกลับมาให้บริการได้ดังเดิม โดยทำการย้าย server และได้เพิ่มเติมคำเตือนให้ตรวจสอบ URL และปลายทางที่ต้องการโอนให้เรียบร้อยก่อนเสมอ

ทางบริษัทได้ออกมากล่าวว่าจะมีการชดเชยให้กับลูกค้าที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว สืบเนื่องจากเหตุการณ์ที่ ICOs มีการถูกแฮ็คหลายต่อหลายครั้ง ทำให้ทั่วโลกเกิดการหวาดระแวง ซึ่งในเวลาต่อมาทางการจีนได้ออกมาประกาศสั่งระงับการทำธุรกรรมทุกอย่างของ ICO ทั่วประเทศ และทางสหรัฐอเมริกาเองก็ได้ออกคำเตือนอย่างเป็นทางการเกี่ยวกับเรื่องนี้แต่ยังไม่มีประกาศบังคับใช้ใดๆ แบบจีน

ที่มา : thehackernews