ทีม NPM Security ลบแพ็คเกจ NPM ที่เป็นอันตราย 4 ชุดที่สามารถเปิด Reverse Shell บนระบบของผู้ใช้ได้

ทีม NPM Security ได้ลบแพ็คเกจ NPM จำนวน 4 ชุดออกจาก NPM Portal หลังจากตรวจพบว่ามีโค้ดที่เป็นอันตรายที่มีลักษณะของ reverse shell และสามารถสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลของผู้ประสงค์ร้ายได้

แพ็คเกจทั้ง 4 ที่ทางทีม NPM ทำการตรวจพบคือ plutov-slack-client, nodetest199, nodetest199 และ npmpubman โดยแพ็คเกจทั้ง 4 นี้ถูกดาวน์โหลดไปแล้วมากกว่า 1,000 ครั้งในช่วงสองสามเดือนที่ผ่านมา

แพ็คเกจจำนวน 3 แพ็คเกจคือ plutov-slack-client , nodetest1010 และ nodetest199 จะมีลักษณะโค้ดที่เหมือนกันและแพ็คเกจเหล่านี้สามารถทำงานได้ทั้งบน Windows และระบบที่ใช้ Unix ซึ่งหลังจากติดตั้งแพ็กเกจแล้วโค้ดจะสร้าง reverse shell กลับไปยังเซิร์ฟเวอร์ของผู้โจมตีUnixเพื่อให้ผู้ประสงค์ร้ายสามารถเข้าถึงเครื่องที่ถูกบุกรุกจากระยะไกลได้ ทั้งนี้แพ็คเกจสุดท้ายในรายการคือ npmpubman มีโครงสร้างโค้ดและวัตถุประสงค์ที่แตกต่างกันมาก โดยแพ็คเกจจะทำการรวบรวมข้อมูลผู้ใช้จากสภาพแวดล้อมต่างๆ ภายในเครื่องและจะทำการอัปโหลดข้อมูลนี้ไปยังโฮสต์ของผู้ประสงค์ร้าย

ทีม NPM Security ได้ออกคำเเนะนำให้ผู้ใช้หรือผู้ดูแลระบบที่เคยทำการติดตั้งแพ็คเกจทั้ง 4 นี้ควรทำการลบแพ็คเกจออกเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากการติดตั้งแพ็คเกจทำการโจมตีระบบ

ที่มา : bleepingcomputer

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

“BLESA” ช่องโหว่ใหม่บน Bluetooth Low Energy ที่จะกระทบกับอุปกรณ์จำนวนหลายพันล้านเครื่อง

กลุ่มนักวิจัยจากมหาวิทยาลัย Purdue ได้เผยเเพร่ถึงผลการการค้นพบช่องโหว่ใหม่ในเทคโนโลยี Bluetooth Low Energy (BLE) โดยนักวิจัยได้ทำการตั้งชื่อช่องโหว่นี้ว่า BLESA (Bluetooth Low Energy Spoofing Attack) ซึ่งช่องโหว่ที่ถูกค้นพบนั้นอยู่ในขั้นตอน Reconnect ของเทคโนโลยี BLE ซึ่งคาดว่าช่องโหว่น่าจะกระทบกับอุปกรณ์หลายพันล้านเครื่อง

Bluetooth Low Energy (BLE) นั้นเป็นมาตรฐานบลูทูธที่ออกแบบมาเพื่อประหยัดพลังงานแบตเตอรี่ในขณะที่ยังคงการเชื่อมต่อบลูทูธไว้ให้นานที่สุด เนื่องจากคุณสมบัติการประหยัดแบตเตอรี่ BLE จึงถูกนำมาใช้อย่างแพร่หลายและกลายมาเป็นเทคโนโลยีที่อยู่ในอุปกรณ์ที่จำนวนหลายพันล้านเครื่อง

ปัญหาของช่องโหว่ที่ถูกค้นพบนี้อยู่ในขึ้นตอนการ Reconnect ซึ่งเกิดขึ้นเมื่ออุปกรณ์ทั้งสองหลุดจากระยะและกลับมาเชื่อมต่อกันใหม่ โดยเมื่อ Reconnect อุปกรณ์ BLE ทั้งสองควรตรวจสอบคีย์การเข้ารหัสของกันและกัน เเต่นักวิจัยพบว่าด้วยข้อกำหนด BLE นั้นไม่มีความชัดเจนจึงทำให้กระบวนการ Reconnect มีปัญหาเชิงระบบดังนี้

การตรวจสอบตัวตนในส่วน Reconnect นั้นเป็นแค่ทางเลือกไม่ใช่ข้อบังคับ
การพิสูจน์ตัวตนนั้นสามารถหลีกเลี่ยงได้ หากอุปกรณ์ของผู้ใช้ไม่สามารถบังคับให้อุปกรณ์ IoT เพื่อพิสูจน์ตัวตนของข้อมูลในระหว่างการสื่อสาร

ด้วยเหตุนี้นักวิจัยจึงได้ทำการทดสอบเพื่อทำการวิเคราะห์การสื่อสาร BLE บนระบบปฏิบัติการต่างๆ ซึ่งจากการทำสอบพบว่าอุปกรณ์ BlueZ (อุปกรณ์ IoT ที่ใช้ Linux), Fluoride (Android) และ iOS BLE stack ล้วนเสี่ยงต่อการโจมตี BLESA ในขณะที่ BLE stack ในอุปกรณ์ Windows นั้นไม่ได้รับผลกระทบ ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่นี้ : Usenix

ที่มา : ZDnet

พบช่องโหว่ในหน่วยความจำของ IBM DB2 ที่จะทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรืออาจทำให้ระบบเกิด DoS ได้

Martin Rakhmanov หัวหน้าทีมวิจัยด้านความปลอดภัยทางไซเบอร์ SpiderLabs จาก Trustwave ได้เปิดเผยถึงรายละเอียดเกี่ยวกับช่องโหว่ในหน่วยความจำของ IBM DB2 Relational Database ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญหรือทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS) ในฐานข้อมูล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-4414 ช่องโหว่เกิดจากการแชร์หน่วยความจำใน DB2 ด้วยการใช้ Trace facility ซึ่งทำให้ขาดการป้องกันที่ชัดเจน จึงทำให้ผู้โจมตีที่อยู่ภายในระบบสามารถทำการอ่านและเขียนในหน่วยความจำและยังสามารถดัมพ์เนื้อหาที่มี ซึ่งนอกจากนี้ผู้โจมตียังสามารถเขียนข้อมูลที่ไม่ถูกต้องบนพื้นที่หน่วยความจำของเป้าหมายเพื่อทำให้ฐานข้อมูลไม่สามารถเข้าถึงได้และทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS)

ช่องโหว่นี้ส่งผลกระทบกับ IBM DB2 สำหรับ Linux, UNIX และ Windows (9.7, 10.1, 10.5, 11.1, 11.5) ทั้งนี้ IBM เปิดตัวเเพตซ์การแก้ไขสำหรับช่องโหว่แล้วเมื่อวันที่ 30 มิถุนายนที่ผ่านมา ผู้ดูแลระบบควรทำการรีบอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่ดังกล่าวและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | trustwave

บริษัท Adobe System ออกอัพเดตแพตซ์รักษาความปลอดภัยเกี่ยวกับการเรียกใช้โค้ดบนผู้ใช้งาน Windows และช่องโหว่การเปิดเผยข้อมูลบนผู้ใช้ Android

Adobe ได้อัพเดตช่องโหว่ความปลอดภัยที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบปฏิบัติการ Windows ทั้ง 12 ข้อใน Adobe Photoshop, Adobe Prelude และ Adobe Bridge
สำหรับผู้ใช้งาน Windows ที่ไม่ใช่บัญชีผู้ดูแลระบบผลกระทบอาจไม่ร้ายแรง นอกจากจะเจอช่องโหว่อื่นที่สามารถยกระดับสิทธ์ โดยมีรายละเอียดดังนี้

Adobe Bridge มีอัพเดตความปลอดภัย APSB20-44 ที่อาจอนุญาตให้สามารถใช้โค้ดจากระยะไกลด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ Windows ควรติดตั้ง Adobe Bridge 10.1.1 เพื่อแก้ไขช่องโหว่
Adobe Photoshop CC 2019 และ Photoshop CC มีอัพเดต APSB20-45เป็นช่องโหว่การ Remote เพื่อเข้ามาแก้ไข และเขียนไฟล์ ผู้ใช้ควรติดตั้ง Photoshop CC 2019 20.0.10 หรือ Photoshop CC 21.2.1 เพื่อแก้ไขช่องโหว่ดังกล่าว
Adobe Prelude มีอัพเดต APSB20-46 Security การเรียกใช้โค้ดด้วยสิทธิ์ผู้ใช้งานปัจจุบัน ผู้ใช้ควรติดตั้ง Adobe Prelude 9.01 เพื่อเป็นการอัพเดตแพทซ์ช่องโหว่
Adobe Reader Mobile มีอัพเดต APSB20-50 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญของผู้ใช้งาน ผู้ใช้ Android ควรติดตั้ง Adobe Reader Mobile 20.3 เพื่อแก้ไขช่องโหว่นี้

ที่มา : bleepingcomputer

นักวิจัยจาก Eclypsium เผยแพร่ช่องโหว่ใหม่ CVE-2020-10713 BootHole เป็นช่องโหว่ buffer overflow ใน GRUB2 เป็น bootloader ยอดนิยมที่ใช้ใน Linux หลายๆ ดิสโทร ช่องโหว่นี้เกิดเมื่อทำการ parsing ไฟล์ตั้งค่า grub.

บัคใน Facebook Messenger สำหรับ Windows ช่วยในการฝังตัวของมัลแวร์ในระบบได้

Reason Labs มีการเปิดเผยถึงรายละเอียดช่องโหว่ในโปรแกรม Facebook Messenger สำหรับ Windows
ผู้โจมตีสามารถใช้ช่องโหว่ในแอปพลิเคชัน Messenger รุ่น 460.16 บน Windows ในการเอ็กซีคิวต์และช่วยในการฝังตัวของมัลแวร์ในระบบได้

การฝังตัวนี้เกิดขึ้นเมื่อ Facebook Messenger มีการเรียกการทำงาน Windows PowerShell จาก C:\Python27 พาธนี้มักจะถูกสร้างเมื่อมีการติดตั้ง Python เวอร์ชัน 2.7 โดยไม่ได้มีอยู่ในการติดตั้งทั่วไปของ Windows ด้วยพฤติกรรมในลักษณะนี้ผู้โจมตีสามารถแทนที่ไฟล์หรือโปรแกรมที่ Facebook Messenger เรียกและไม่มีอยู่จริงนั้นด้วยไฟล์หรือโปรแกรมที่เป็นอันตรายได้

ช่องโหว่นี้ถูกแก้ไขในเวอร์ชัน 480.5 ผู้ใช้ที่ใช้งานในเวอร์ชันที่มีปัญหาควรทำการอัปเดตทันที

ที่มา:thehackernews

Cisco เเก้ไขช่องโหว่ที่มีระดับรุนเเรงสูงใน Webex สำหรับ Windows, macOS

Cisco ได้เปิดตัวแพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ที่มีความรุนเเรงสูง 2 รายการที่ถูกพบใน Cisco Webex Meetings Desktop App สำหรับ Windows และ macOS โดยช่องโหว่สามารถอนุญาตให้ผู้โจมตีที่ไม่ได้ตรวจสอบสิทธิ์ สามารถเรียกใช้โปรแกรมและโค้ดบนเครื่องได้ ช่องโหว่ทั้ง 2 รายการถูกติดตามด้วยรหัส CVE-2020-3263 และ CVE-2020-3342

ช่องโหว่ CVE-2020-3263 สามารถทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ตรวจสอบสิทธิ์ สามารถรันโปรแกรมบนระบบที่ใช้งาน Cisco Webex Meetings Desktop App ผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้โดยการหลอกให้เป้าหมายคลิก URL ที่เป็นอันตราย

CVE-2020-3342 สามารถทำให้ผู้โจมตีที่ไม่ได้ตรวจสอบสิทธิ์ สามารถรันโค้ดจากระยะไกลโดยใช้สิทธิ์ของผู้ใช้ที่ล็อกอินบน macOS ที่ใช้งาน Cisco Webex Meetings Desktop App สำหรับ macOS

ช่องโหว่ทั้ง 2 มีผลกับผู้ใช้ Cisco Webex Meetings Desktop App เวอร์ชั่น 39.5.12 สำหรับ Windows และ Cisco Webex Meetings Desktop App เวอร์ชั่น 39.5.11 สำหรับ macOS

ข้อเเนะนำ
Cisco ได้ออกเเพตซ์เพื่อเเก้ไขปัญหาดังกล่าวแล้วโดยผู้ใช้งานสามารถทำการอัพเดต Cisco Webex สำหรับ Windows ได้ในเวอร์ชั่น 40.1.0 หรือรุ่นใหม่กว่า และ Cisco Webex สำหรับ macOS ได้ในเวอร์ชั่น 39.5.11 หรือรุ่นใหม่กว่า

ที่มา: bleepingcomputer

 

Docker ทำการเเก้ไขช่องโหว่ที่ทำให้สามารถดำเนินการด้วยสิทธ์ SYSTEM บน Windows
Docker ทำการแก้ไขช่องโหว่ความปลอดภัยใน Docker สำหรับ Windows Desktop ที่อนุญาตให้ผู้โจมตีสามารถดำเนินการคำสั่งด้วยสิทธิ์ SYSTEM ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-11492
Docker Desktop สำหรับ Windows หลังจากการติดตั้งจะเริ่มต้นของแอปพลิเคชันด้วยการสร้าง child โปรเซสที่ใช้เชื่อมต่อกับเซอร์วิสของ Windows ชื่อว่า pipes ซึ่งเป็น child โปรเซสที่จะอนุญาตให้เซิร์ฟเวอร์ทำการเชื่อมต่อกับไคลเอนต์ด้วยสิทธิ์ SYSTEM ผู้โจมตีสามารถใช้ประโยน์จากสิ่งนี้เพื่อทำการยกระดับสิทธิ์บนระบบที่ทำการบุกรุก
ช่องโหว่นี้มีผลกับ Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ที่ได้ทำการเเก้ไขก่อนจะปล่อยให้ทำการอัพเดตเมื่อวันที่ 11 พฤษภาคมที่ผ่านมา
ทั้งนี้ผู้ใช้งาน Docker เวอร์ชั่นก่อนน้า 2.3.0.2 ควรทำการอัพเดตเวอร์ชั่นเพื่อเเก้ไขช่องโหว่ดังกล่าวและลดความเสี่ยงจากการถูกผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ
ที่มา: bleepingcomputer

Microsoft Patch Tuesday ประจำเดือนพฤษภาคมทำการเเก้ไขช่องโหว่ 111 รายการ

Microsoft ได้เปิดตัวเเพตซ์อัปเดตด้านความปลอดภัยประจำเดือนพฤษภาคมซึ่งในเดือนนี้ Microsoft ได้ทำการแก้ไขช่องโหว่ 111 รายการแบ่งเป็นช่องโหว่ระดับ Critical จำนวน 16 รายการ และระดับ Important จำนวน 96 รายการใน 12 ผลิตภัณฑ์ได้เเก่ Windows, Edge, IE, Office, Visual Studio, Dynamics, .NET และ Power BI

ช่องโหว่ที่น่าสนใจและสามารถเป็นช่องทางให้โจมตีนำไปใช้ในอนาคตได้เเก่

ช่องโหว่ CVE-2020-1023 , CVE-2020-1024 และ CVE-2020-1102 เป็นช่องโหว่การเรียกใช้โค้ดทำการระยะไกลใน Microsoft SharePoint
ช่องโหว่ CVE-2020-1067 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Windows OS
ช่องโหว่ CVE-2020-1064 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน MSHTML
ช่องโหว่ CVE-2020-1096 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Edge PDF
ช่องโหว่ CVE-2020-1051, CVE-2020-1174, CVE-2020-1175 และ CVE-2020-1176 เป็นช่องโหว่การเรียกใช้โค้ดทำการโจมตีจากระยะไกลบน Microsoft Jet Database Engine
ทั้งนี้ผู้ใช้งาน Windows 10, Windows RT 8.1 สามารถทำการอัพเดตได้ผ่าน Windows Update สำหรับผู้ใช้งาน Windows 7, Windows Server 2008 R2 หรือ Windows Server 2008 จำเป็นต้องซื้อ Extended Security Update (ESU) ก่อนทำการอัพเดต

ที่มา : zdnet