Clear
Lead Graphic Papers

ข่าวสั้น

ผลการศึกษาพบหน้าเว็บฟิชชิ่งมีอายุขัยเฉลี่ย 21 ชั่วโมง ระบบตรวจจับและแจ้งเตือนใช้เวลาเฉลี่ย 9 ชั่วโมง

ทีมวิจัยที่เป็นความร่วมมือระหว่าง Google, PayPal, Samsung และ Arizona State University ได้เผยแพร่รายงานผลการศึกษาเกี่ยวกับระยะเวลาและมูลค่าความเสียหายที่เกิดจากหน้าเว็บฟิชชิ่ง โดยได้รวบรวมและวิเคราะห์ข้อมูลจากเหยื่อจำนวน 22,553,707 คนและเว็บไซต์ฟิชชิ่งจำนวน 404,628 รายการ ผลการศึกษาทำให้ทราบถึงรูปแบบการทำงานและสามารถประเมินผลกระทบที่เกิดจากการโจมตีแบบฟิชชิ่งได้

จากข้อมูลพบว่าอายุขัยเฉลี่ยของหน้าฟิชชิ่งนั้นจะอยู่ที่ประมาณ 21 ชั่วโมง (เริ่มนับตั้งแต่ตอนที่เหยื่อคนแรกเข้าเว็บไซต์จนถึงเหยื่อคนสุดท้าย) ปริมาณการเข้าถึงเว็บไซต์ฟิชชิ่งจะเพิ่มขึ้นเรื่อย ๆ จนถึงจุดสูงสุดเมื่อผ่านไป 7 ชั่วโมงนับตั้งแต่เหยื่อคนแรกเข้าเว็บไซต์ และหลังจากที่เวลาผ่านไป 9 ชั่วโมงนับจากเหยื่อคนแรก ระบบตรวจจับถึงจะเริ่มแจ้งเตือนหน้าเว็บฟิชชิ่งได้ ทางทีมวิจัยเรียกช่วงเวลาตั้งแต่ที่มีเหยื่อคนแรกเข้าเว็บไซต์ฟิชชิ่งจนถึงช่วงเวลาที่เบราว์เซอร์แจ้งเตือนว่าเว็บไซต์นั้นไม่ปลอดภัยว่าเป็น “ชั่วโมงทองคำ” หรือ “golden hours” ซึ่งหมายถึงช่วงเวลาที่ผู้โจมตีสามารถหาผลประโยชน์จากหน้าฟิชชิ่งนั้นได้ หากกระบวนการแจ้งเตือนเว็บไซต์ฟิชชิ่งสามารถทำได้สำเร็จภายในช่วงเวลาดังกล่าวก็อาจช่วยลดความเสียหายได้มาก อย่างไรก็ตาม แม้ว่าหน้าเว็บฟิชชิ่งจะถูกตรวจจับและแจ้งเตือนไปแล้ว แต่ก็ยังมีเหยื่อถึง 33.7 เปอร์เซ็นที่เข้าไปยังเว็บไซต์ฟิชชิ่งนั้นอยู่

นอกจากนี้ ผลการศึกษายังระบุด้วยว่า มีเหยื่อประมาณ 7.4 เปอร์เซ็นที่หลงเชื่อกรอกข้อมูลบัญชีและรหัสผ่านลงในหน้าเว็บไซต์ฟิชชิ่ง แต่ผู้ไม่หวังดีอาจไม่ได้เข้าถึงบัญชีของเหยื่อในทันทีที่ได้รับข้อมูล โดยจากสถิติพบว่ากว่าบัญชีจะถูกเข้าถึงโดยไม่ได้รับอนุญาตนั้นอาจใช้เวลาประมาณ 5 วัน และกว่าที่ข้อมูลบัญชีและรหัสผ่านของเหยื่อจะถูกนำออกมาเผยแพร่หรือขายในตลาดมืดนั้นจะใช้เวลาเฉลี่ยอยู่ที่ประมาณ 7 วัน หมายความว่าหากเหยื่อรู้ตัวว่าตกเป็นเหยื่อของเว็บไซต์ฟิชชิ่งแล้วรีบเปลี่ยนรหัสผ่านทันทีก็อาจยังพอมีโอกาสที่บัญชีนั้นจะไม่ถูกเข้าถึง

แนวทางการลดความเสี่ยงและผลกระทบจากเว็บไซต์ฟิชชิ่งนั้นจำเป็นต้องอาศัยความร่วมมือจากหลายภาคส่วน โดยในฝั่งผู้ใช้งานทั่วไปควรระมัดระวังและตรวจสอบความน่าเชื่อถือของเว็บไซต์ทุกครั้งก่อนที่จะป้อนข้อมูลใด ๆ ส่วนในฝั่งของผู้ให้บริการหรือผู้พัฒนาเว็บไซต์ควรตรวจสอบและพัฒนาระบบให้มีความมั่นคงปลอดภัยเพื่อลดความเสี่ยงที่เว็บไซต์จะถูกแฮกฝังหน้าฟิชชิ่ง นอกจากนี้ในฝั่งผู้ให้บริการโฮสติ้งและผู้รับจดโดเมนก็ควรตรวจสอบและให้ความร่วมมือหากได้รับการประสานเพื่อขอให้ปิดกั้นการเข้าถึงเว็บไซต์ฟิชชิ่งด้วย ทั้งนี้ ข้อมูลเพิ่มเติมเกี่ยวกับงานวิจัยดังกล่าวสามารถอ่านได้จากรายงานฉบับเต็มตามลิงก์ต่อไปนี้ https://www.usenix.org/system/files/sec20fall_oest_prepub.pdf

วันที่: 2020-08-04 | ที่มา: ZDNet | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ใน GRUB2 bootloader สามารถรันโค้ดอันตรายได้แม้เปิด Secure Boot

เมื่อวันที่ 29 กรกฎาคม 2563 ทีมนักวิจัยจากบริษัท Eclypsium ได้รายงานช่องโหว่ที่ถูกตั้งชื่อว่า BootHole โดยเป็นช่องโหว่ใน GRUB2 ซึ่งเป็น bootloader ที่นิยมใช้งานในระบบปฏิบัติการ Linux ช่องโหว่ดังกล่าวเปิดโอกาสให้โค้ดอันตรายถูกเรียกขึ้นมาทำงานในขั้นตอนของการบู๊ตระบบปฏิบัติการได้แม้ว่าระบบดังกล่าวจะเปิดการใช้งาน Secure Boot ก็ตาม ผลกระทบที่เกิดขึ้นทำให้ผู้ไม่หวังดีสามารถควบคุมเครื่องคอมพิวเตอร์หรือสั่งรันมัลแวร์ได้โดยการตรวจจับทำได้ยาก

Secure Boot เป็นเทคโนโลยีที่ Microsoft พัฒนาขึ้นมาเพื่อเพิ่มความมั่นคงปลอดภัยในขั้นตอนการโหลดระบบปฏิบัติการขึ้นมาทำงาน โดยหลักการคือโค้ดทั้งหมดที่เกี่ยวข้องกับขั้นตอนการบู๊ตระบบจะต้องถูกเชื่อถือโดยใบรับรองของทาง Microsoft ซึ่งกระบวนการตรวจสอบความถูกต้องของใบรับรองจะใช้ฐานข้อมูลที่อยู่ใน UEFI ร่วมด้วย ขั้นตอนต่อมาคือการตรวจสอบใบรับรองของ bootloader ซึ่งเมื่อผ่านแล้วถึงจะมีการโหลดระบบปฏิบัติการขึ้นมาทำงานต่อไป ขั้นตอนการตรวจสอบในลักษณะนี้มีขึ้นเพื่อป้องกันไม่ให้โค้ดของระบบที่เกี่ยวข้องกับกระบวนการบู๊ตระบบปฏิบัติการถูกแก้ไข ซึ่งอาจเป็นโค้ดที่สร้างความเสียหายให้กับระบบหรือข้อมูลได้

ในกรณีที่ไม่ได้เป็นการบู๊ตระบบปฏิบัติการ Windows ทาง Microsoft ก็เปิดให้ผู้พัฒนา bootloader ของ Linux ขอใบรับรองเพื่อให้ทำงานร่วมกับ Secure Boot ได้ โดยในขั้นตอนนี้จะมีการตรวจสอบใบรับรองกับ 3rd Party CA ผ่านแอปพลิเคชันที่เรียกว่า Shim ซึ่งทำหน้าที่เก็บฐานข้อมูลใบรับรองของผู้พัฒนา หากตรวจสอบแล้วพบว่าใบรับรองถูกต้อง ก็จะมีการโหลด bootloader และ kernel ขึ้นมาทำงานในลำดับถัดไป

หนึ่งใน bootloader ของ Linux ที่ได้รับความนิยมคือ GRUB โดยปัจจุบันเป็นเวอร์ชัน 2 หรือเรียกอีกอย่างว่า GRUB2 ในกระบวนการทำงานของ GRUB จะมีการอ่านข้อมูลการตั้งค่าจากไฟล์ grub.cfg ที่ถูกเก็บอยู่ในพาร์ทิชัน EFI ทางทีมนักวิจัยพบว่า GRUB นั้นไม่ได้มีขั้นตอนตรวจสอบความน่าเชื่อถือของไฟล์ grub.cfg ซึ่งเป็นข้อผิดพลาดในการตรวจสอบขนาดของข้อมูลที่นำมาประมวลผล ทำให้เมื่อมีการอ่านค่าบางอย่างจากไฟล์ grub.cfg ที่มีขนาดข้อมูลใหญ่กว่าที่ตัวแปรของ GRUB จะรองรับได้ จะก่อให้เกิดปัญหา buffer overflow และโค้ดที่เกินออกมานั้นจะถูกนำไปประมวลผลต่อ ทำให้มีความเสี่ยงที่ช่องโหว่นี้จะถูกนำไปใช้เพื่อฝังมัลแวร์ที่จะถูกเรียกขึ้นมาทำงานในทุกครั้งที่มีการโหลดระบบปฏิบัติการได้ เนื่องจากโค้ดดังกล่าวถูกโหลดขึ้นมาตั้งแต่ขั้นตอนของการบู๊ตระบบ ทำให้ตัวโค้ดถูกรันด้วยสิทธิ์ที่อาจสูงกว่าหรือเทียบเท่าระบบฏิบัติการได้ และทำให้การตรวจจับความผิดปกตินั้นทำได้ยาก

ถึงแม้ว่ารูปแบบแนวทางการโจมตีผ่านช่องโหว่นี้จะทำได้ยาก เนื่องจากผู้โจมตีจำเป็นต้องได้สิทธิ์ของผู้ดูแลระบบในการแก้ไขไฟล์ grub.cfg รวมถึงระบบที่จะได้รับผลกระทบนั้นต้องเปิดใช้งาน Secure Boot พร้อมติดตั้ง GRUB เป็น bootloader ทำให้ในทางปฏิบัติแล้วการจะโจมตีผ่านช่องโหว่นี้ให้สำเร็จได้นั้นยังค่อนข้างจำกัด แต่เนื่องจากหากโจมตีสำเร็จแล้วจะมีผลกระทบต่อความมั่นคงปลอดภัยของข้อมูล จึงทำให้ช่องโหว่นี้ถูกประเมินความรุนแรงตาม CVSS ที่ระดับ 8.2/10

ทาง Microsoft แจ้งว่าได้ทำงานร่วมกับผู้พัฒนาระบบปฏิบัติการ Linux เพื่อออกอัปเดตซอฟต์แวร์ที่เกี่ยวข้อง เช่น GRUB และ Shim พร้อมร่วมมือกับผู้ผลิตคอมพิวเตอร์เพื่ออัปเดตฐานข้อมูลใบรับรองในเฟิร์มแวร์ UEFI แล้ว ผู้ใช้งานควรติดตามแพตช์และอัปเดตระบบปฏิบัติการรวมถึงเฟิร์มแวร์ที่เกี่ยวข้องเพื่อลดความเสี่ยง ทั้งนี้ มีรายงานว่าแพตช์บางรายการอาจมีปัญหากับกระบวนการบู๊ตระบบ ผู้ใช้ควรตรวจสอบข้อมูลเพิ่มเติมจากผู้พัฒนาก่อนติดตั้งแพตช์ ข้อมูลเพิ่มเติมและประกาศจากผู้พัฒนาเกี่ยวกับช่องโหว่นี้สามารถศึกษาได้จาก https://gist.github.com/SwitHak/b196844cdc334c84f4e30e3f6efe7a6c

วันที่: 2020-07-31 | ที่มา: Eclypsium, Microsoft | Share on Facebook Share on Twitter Share on Google+
ผลการศึกษาพบการใส่ผ้าปิดปากอาจทำให้ระบบจดจำใบหน้าทำงานผิดพลาด สีดำยิ่งทำให้ค่าเพี้ยนสูง

การจดจำใบหน้าหรือ face recognition นั้นถูกใช้งานในหลายจุดประสงค์ ไม่ว่าจะเป็นการยืนยันตัวตน การรักษาความปลอดภัย หรือแม้กระทั่งการสอดแนม ขั้นตอนการทำงานหลักๆ จะประกอบไปด้วยการตรวจจับใบหน้า (face detection) และการเปรียบเทียบภาพใบหน้ากับฐานข้อมูลเพื่อระบุตัวบุคคล อย่างไรก็ตาม จากการระบาดของโรค COVID-19 ก็ทำให้การเดินทางในที่สาธารณะหรือการเข้าสถานที่นั้นจำเป็นต้องมีการใส่ผ้าปิดปากเพื่อป้องกันการแพร่เชื้อ จากพฤติกรรมในลักษณะดังกล่าวจึงทำให้ระบบการจดจำใบหน้านั้นทำงานได้แม่นยำน้อยลง

หน่วยงาน NIST ของสหรัฐอเมริกาได้ศึกษาผลกระทบของการใส่ผ้าปิดปากกับความแม่นยำของระบบจดจำใบหน้า โดยได้ทดลองกับอัลกอริทึมการจดจำใบหน้าจำนวน 89 รายการ ผลการศึกษาพบว่าการใส่ผ้าปิดปากทำให้ความแม่นยำของระบบจดจำใบหน้าลดลง 5% - 50% ตัวแปรสำคัญที่ส่งผลกระทบต่อความแม่นยำในการจดจำใบหน้าคือความครอบคลุมของผ้าปิดปาก รูปทรง และสี โดยหากใส่ผ้าปิดปากที่ครอบคลุมสันจมูกด้วยจะทำให้ความแม่นยำลดลงมาก และหากใช้ผ้าปิดปากสีดำก็จะทำให้ระบบมีความผิดพลาดสูง ซึ่งทาง NIST คาดว่าสาเหตุของปัญหานี้น่าจะเกิดจากในตอนที่พัฒนาอัลกอริทึมของระบบจดจำใบหน้านั้นการใช้ผ้าปิดปากสีดำยังไม่แพร่หลาย ส่วนใหญ่มักเป็นสีขาวหรือหน้ากากอนามัยสำหรับใช้ในทางการแพทย์

ทั้งนี้ ผลการศึกษาดังกล่าวเป็นการทดสอบกับอัลกอริทึมการจดจำใบหน้าที่ถูกพัฒนาขึ้นมาก่อนช่วง COVID-19 ระบาด ซึ่งในช่วงนั้นการใส่ผ้าปิดปากยังไม่ใช่พฤติกรรมที่มีการทำเป็นเรื่องปกติ หลังจากที่มีการระบาดของโรค COVID-19 ทางผู้พัฒนาก็ได้มีการปรับปรุงระบบเพื่อให้รองรับการตรวจสอบใบหน้าที่ใส่ผ้าปิดปากด้วย ซึ่งทาง NIST ระบุว่ามีแผนจะทดสอบประเด็นนี้อีกครั้งในอนาคตเพื่อให้ได้ข้อมูลที่เป็นปัจจุบัน รายงานผลการทดสอบฉบับเต็มอยู่ใน NISTIR 8311 ผู้ที่สนใจสามารถดาวน์โหลดได้จากเว็บไซต์ของ NIST (https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8311.pdf)

วันที่: 2020-07-29 | ที่มา: NIST, The Verge | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ในโปรแกรมอ่าน PDF ไฟล์ที่ถูกลงลายมือชื่อไปแล้วยังถูกแก้ไขได้ ควรติดตั้งอัปเดต

ทีมนักวิจัยจากมหาวิทยาลัย Ruhr-University Bochum ประเทศเยอรมนี ได้รายงานช่องโหว่ในโปรแกรมอ่านไฟล์ PDF ซึ่งมีผลทำให้ไฟล์เอกสารที่ถูกลงลายมือชื่อดิจิทัลไปแล้ว (Digitally signed) ยังถูกแก้ไขเนื้อหาในภายหลังได้ โดยลายมือชื่อที่ลงไปแล้วยังคงถูกต้อง ทำให้ผู้ไม่หวังดีอาจใช้ช่องทางนี้ในการปลอมแปลงเอกสารอิเล็กทรอนิกส์ได้ ช่องโหว่นี้ถูกตั้งชื่อว่า Shadow Attack มีหมายเลข CVE-2020-9592 และ CVE-2020-9596 ระดับความรุนแรง CVSS 7.8/10

หลักการลงลายมือชื่อดิจิทัลในไฟล์ PDF นั้นโดยพื้นฐานแล้วจะเป็นการใช้วิทยาการเข้ารหัสลับ (Cryptography) มาคำนวณค่าเฉพาะของเนื้อหาไฟล์ พร้อมกับแนบข้อมูลเฉพาะของผู้ลงลายมือชื่อไปกับไฟล์นั้นด้วย หมายความว่าการลงลายมือชื่อนี้จะมีผลเฉพาะกับเอกสารที่มีเนื้อหานี้เท่านั้น หากหลังจากที่ลงลายมือชื่อไปแล้วเนื้อหาของไฟล์ PDF ถูกแก้ไข ค่าเฉพาะของเนื้อหาไฟล์จะไม่ตรงกับค่าที่ระบุในกระบวนการลงลายมือชื่อ ทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวถูกแก้ไขปลอมแปลง

อย่างไรก็ตาม ไฟล์ PDF นั้นรองรับการแสดงผลแบบระดับชั้น (layer) โดยเนื้อหาหรือวัตถุในเอกสารนั้นสามารถวางซ้อนทับกันได้ เช่น วางรูปภาพซ้อนทับข้อความ โดยผู้ที่เปิดไฟล์ PDF สามารถเลือกที่จะซ่อนเนื้อหาที่อยู่ชั้นบนเพื่อดูเนื้อหาที่อยู่ในชั้นล่างได้ ประเด็นสำคัญที่ก่อให้เกิดช่องโหว่ Shadow Attack คือข้อมูลการแสดงผลระดับชั้นนั้นไม่ได้ถูกนำไปใช้ในตอนคำนวณค่าเฉพาะของเนื้อหาไฟล์ ทำให้เมื่อมีการลงลายมือชื่อไปแล้วแต่มีการแก้ไขระดับชั้นของการแสดงผลเนื้อหาในภายหลัง ข้อมูลการลงลายมือชื่อนั้นจะยังถือว่าถูกต้องอยู่เพราะเนื้อหาของเอกสารไม่ได้ถูกเปลี่ยน

จากช่องโหว่ดังกล่าว ผู้โจมตีสามารถสร้างเอกสาร PDF ที่มีชั้นเนื้อหาซ้อนทับกัน แล้วส่งไฟล์ไปให้เหยื่อลงลายมือชื่อ หลังจากได้รับไฟล์กลับมาพร้อมลายมือชื่อ ผู้โจมตีก็สามารถปิดการแสดงผลระดับชั้นเพื่อให้เนื้อหาที่ถูกซ้อนทับไว้ปรากฎออกมาได้ จากนั้นส่งไฟล์เอกสารดังกล่าวออกไปให้กับบุคคลอื่นโดยอ้างได้ว่าเป็นไฟล์ที่เหยื่อลงลายมือชื่อแล้ว

ทางทีมวิจัยพบว่ารูปแบบการโจมตีของช่องโหว่นี้สามารถแบ่งได้อย่างน้อย 3 เทคนิค โดยเทคนิคแรกคือ Hide เป็นการใช้ฟีเจอร์ Incremental Update ของไฟล์ PDF เพื่อซ่อนวัตถุที่ถูกนำมาปิดทับเนื้อหาที่แท้จริง เทคนิคต่อมาคือ Replace เป็นการใช้ฟีเจอร์ Interactive Forms เพื่อแทนที่ค่าในฟอร์มที่กรอกไว้ และเทคนิคสุดท้ายคือ Hide and Replace เป็นการสับเปลี่ยนเนื้อหาของไฟล์ PDF ทั้งฉบับ

ช่องโหว่ Shadow Attack มีผลกระทบกับโปรแกรมอ่านและลงลายมือชื่อในไฟล์ PDF จำนวนหลายรายการ ทั้งแบบออนไลน์และออฟไลน์ โดยสามารถตรวจสอบรายชื่อโปรแกรมและเวอร์ชันที่ได้รับผลกระทบได้จาก https://pdf-insecurity.org/signature-shadow/evaluation_2020.html ทั้งนี้ แต่ละโปรแกรมอาจจะได้รับผลกระทบมากน้อยแตกต่างกัน หรืออาจโจมตีได้เฉพาะเมื่อเอกสารนั้นอยู่ภายใต้เงื่อนไขที่กำหนด

ทั้งนี้ นักวิจัยได้รายงานช่องโหว่ไปยังผู้พัฒนาโปรแกรมอ่านไฟล์ PDF เพื่อขอให้แก้ไขปัญหาดังกล่าวแล้ว ตัวอย่างโค้ดโจมตีช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแต่ยังไม่พบรายงานการโจมตี เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้ควรตรวจสอบรายการโปรแกรมที่ได้รับผลกระทบและอัปเดตให้เป็นเวอร์ชันล่าสุด

วันที่: 2020-07-24 | ที่มา: PDF Insecurity, ZDNet | Share on Facebook Share on Twitter Share on Google+
ถอดบทเรียนจากกรณีการแฮกบัญชี Twitter ช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น

เมื่อช่วงวันที่ 15-16 กรกฏาคม 2563 บัญชีผู้ใช้ Twitter จำนวนมาก ซึ่งส่วนใหญ่เป็นบุคคลที่มีชื่อเสียง ได้ถูกผู้ไม่หวังดีเข้าถึงและนำบัญชีดังกล่าวไปโพสต์ข้อความหลอกลวงให้โอนเงินผ่าน Bitcoin จนก่อให้เกิดความเสียหายเป็นจำนวนมาก ในเวลาต่อมาทาง Twitter ได้ออกมาชี้แจ้งสาเหตุและความคืบหน้าของการสอบสวนเหตุการณ์ดังกล่าว หลังจากนั้นไม่นาน กลุ่มผู้ที่อ้างว่าอยู่เบื้องหลังการโจมตีก็ได้ออกมาเปิดเผยข้อมูลรวมถึงให้สัมภาษณ์กับสำนักข่าวเกี่ยวกับแรงจูงใจและช่องทางการโจมตี จากข้อมูลทำให้สามารถสรุปบทเรียนสำคัญจากเหตุการณ์ครั้งนี้ได้ 2 ข้อ คือช่องโหว่เกิดจากคนใน และการให้สิทธิ์แอดมินมากเกินจำเป็น

สำนักข่าว Motherboard และ The New York Times ได้รายงานบทสัมภาษณ์ของกลุ่มที่อ้างว่าอยู่เบื้องหลังการโจมตีที่เกิดขึ้น จากรายงานมีการเปิดเผยว่าก่อนหน้าที่จะเกิดเหตุนั้นได้มีผู้ที่อ้างว่าเป็นพนักงานของ Twitter โพสต์ในกลุ่มสนทนาแห่งหนึ่ง ระบุว่าตนเองมีสิทธิ์เข้าถึงระบบบริหารจัดการบัญชีผู้ใช้ ซึ่งระบบดังกล่าวสามารถดูข้อมูล แก้ไขการตั้งค่าความมั่นคงปลอดภัย หรือดำเนินการอื่น ๆ กับบัญชีผู้ใช้ Twitter ได้ โดยได้มีการแนบตัวอย่างหน้าจอของระบบดังกล่าวด้วย ทั้งนี้มีรายงานว่ากลุ่มผู้โจมตีได้จ่ายเงินให้กับพนักงานของ Twitter เพื่อมีส่วนร่วมก่อเหตุในครั้งนี้ด้วย

จากกรณีศึกษาในครั้งนี้มีบทเรียนสำคัญ 2 ประเด็น คือช่องโหว่เกิดจากคนใน และปัญหาการให้สิทธิ์แอดมินมากเกินความจำเป็น โดยประเด็นแรกนั้นเป็นความเสี่ยงที่มีโอกาสเกิดขึ้นได้กับทุกองค์กร เพราะการโจมตีทางไซเบอร์นั้นอาจไม่ได้มาจากนอกองค์กรเพียงอย่างเดียวแต่คนในองค์กรเองก็อาจเป็นสาเหตุได้ด้วย กระบวนการตรวจสอบและป้องกันการโจมตีจากคนในจึงสำคัญไม่แพ้การป้องกันจากคนนอก ส่วนประเด็นหลังนั้นเกิดจากการที่ผู้โจมตีสามารถเข้าถึงระบบแอดมินของ Twitter แล้วสามารถดำเนินการในสิ่งที่อาจส่งผลต่อความมั่นคงปลอดภัย ความน่าเชื่อถือ หรือชื่อเสียงขององค์กรได้ ซึ่งช่องโหว่ในลักษณะนี้อาจป้องกันได้โดยการแบ่งระดับสิทธิ์ตามความจำเป็น รวมถึงการดำเนินงานที่อาจมีความเสี่ยงหรือมีผลกระทบสูงควรมีกระบวนการป้องกันที่รัดกุม เช่น ต้องมีผู้ตรวจสอบและอนุมัติเพื่อยืนยันการดำเนินการ

วันที่: 2020-07-20 | ที่มา: Motherboard, The New York Times, Krebs on Security | Share on Facebook Share on Twitter Share on Google+
พบบริการ VPN ฟรีหลายยี่ห้อเปิดข้อมูลผู้ใช้ ประวัติการใช้งาน และรหัสผ่านออกสู่สาธารณะ

เมื่อวันที่ 15 กรกฎาคม 2563 ทีมนักวิจัยจาก vpnMentor ได้รายงานการพบเซิร์ฟเวอร์ที่เก็บข้อมูลส่วนบุคคลและประวัติการใช้งานอินเทอร์เน็ตของผู้ใช้บริการ VPN ฟรีหลายยี่ห้อ โดยเซิร์ฟเวอร์ดังกล่าวเปิดให้เข้าถึงได้แบบสาธารณะ

ตัวอย่างข้อมูลที่พบบนเซิร์ฟเวอร์ดังกล่าว เช่น ชื่อผู้ใช้ อีเมล ที่อยู่ ไอพี ประวัติการใช้งานอินเทอร์เน็ต และ ข้อมูลอื่น ๆ ที่ผู้ใช้ลงทะเบียนเพื่อสมัครใช้งาน VPN นอกจากนี้ยังพบข้อมูลรหัสผ่านแบบ plain text ในเซิร์ฟเวอร์ดังกล่าวด้วย ทีมนักวิจัยได้ตรวจสอบข้อมูลเซิร์ฟเวอร์แล้วพบว่ามีความเกี่ยวข้องกับแอปพลิเคชัน VPN จำนวนหลายรายการ เช่น UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN และ Rabbit VPN ซึ่งเป็นแอปพลิเคชัน VPN ที่มีให้ดาวน์โหลดบน iOS และ Android โดยคาดว่าเป็นแอปพลิเคชันที่มาจากผู้พัฒนาเดียวกันแต่เปลี่ยนชื่อแอปพลิเคชันเพื่อให้มีหลายยี่ห้อ เนื่องจากพบความเชื่อมโยงว่าแอปพลิเคชันเหล่านั้นมีการใช้เซิร์ฟเวอร์ตัวเดียวกัน มีชื่อผู้รับการชำระเงินเหมือนกัน และบางแอปพลิเคชันมีหน้าตาเว็บไซต์ที่คล้ายคลึงกันด้วย

ถึงแม้เซิร์ฟเวอร์ดังกล่าวจะถูกตั้งค่าไม่ให้เข้าถึงได้แบบสาธารณะแล้ว แต่การที่ข้อมูลผู้ลงทะเบียนใช้งาน VPN รวมถึงประวัติการใช้งานอินเทอร์เน็ตถูกเปิดให้เข้าถึงได้แบบสาธารณะนั้นก่อให้เกิดความเสี่ยงที่ข้อมูลของผู้ใช้งานอาจรั่วไหลและถูกนำไปโจมตีในรูปแบบอื่นต่อ ซึ่งอาจก่อให้เกิดความเสียหายต่อเจ้าของข้อมูลได้

เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ที่ใช้งานโปรแกรม VPN ที่ได้รับผลกระทบควรพิจารณาความน่าเชื่อถือของผู้ให้บริการ รวมถึงประเมินผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์ข้อมูลรั่วไหลด้วย (สามารถตรวจสอบรายชื่อโปรแกรม VPN ที่เข้าข่ายได้จากที่มา) ทั้งนี้ควรตระหนักว่าการใช้งาน VPN ฟรีโดยไม่ตรวจสอบความน่าเชื่อถือของผู้ให้บริการนั้นอาจไม่ได้ช่วยในเรื่องความเป็นส่วนตัวเสมอไป ควรพิจารณาก่อนเลือกใช้งาน

วันที่: 2020-07-17 | ที่มา: vpnMentor | Share on Facebook Share on Twitter Share on Google+
Thunderbird 78 ออกแล้ว รองรับ OpenPGP ในตัวแต่ยังไม่เสถียร เตือนผู้ใช้ Enigmail ให้ชะลอการอัปเดตไปก่อน

Thunderbird เป็นโปรแกรมรับส่งอีเมลแบบโอเพนซอร์สที่ได้รับความนิยมสูง เมื่อวันที่ 17 มิถุนายน 2563 ทีมพัฒนาได้เผยแพร่โปรแกรม Thunderbird เวอร์ชัน 78 โดยเวอร์ชันนี้นอกจากจะได้รับการปรับปรุงอินเทอร์เฟซและระบบการทำงานในหลายส่วนแล้ว หนึ่งในฟีเจอร์ที่ถูกเพิ่มเข้ามาคือสามารถรับส่งอีเมลแบบเข้ารหัสลับผ่าน OpenPGP ได้ในตัวโดยไม่จำเป็นต้องลงปลั๊กอิน Enigmail หรือลงโปรแกรมอื่นเพิ่มเติมแล้ว

การรับส่งอีเมลโดยใช้เทคโนโลยี PGP นั้นมีจุดประสงค์หลักเพื่อรักษาความลับและความถูกต้องของข้อมูล ปัจจุบันมาตรฐานที่นิยมใช้งานคือ OpenPGP อย่างไรก็ตาม ที่ผ่านมาโปรแกรมรับส่งอีเมลส่วนใหญ่นั้นยังไม่รองรับมาตรฐานดังกล่าวมาตั้งแต่ต้น โดยผู้ที่ต้องการใช้งานอีเมลแบบเข้ารหัสลับจำเป็นต้องติดตั้งโปรแกรมเสริม เช่น ใช้งาน Thunderbird ร่วมกับ Enigmail, ใช้งาน macOS Mail ร่วมกับ GPG Suite, หรือใช้งาน Microsoft Outlook ร่วมกับ GPG4Win เป็นต้น ซึ่งอาจมีปัญหาหรือมีความไม่สะดวกในบางครั้งหากโปรแกรมหลักมีการอัปเดตแล้วไม่สามารถใช้งานร่วมกับโปรแกรมเสริมได้ การที่ Thunderbird เพิ่มความสามารถในการรองรับ OpenPGP ในตัวก็จะช่วยให้การรับส่งอีเมลแบบเข้ารหัสลับนั้นทำได้สะดวกขึ้น

ทั้งนี้ ทางทีมพัฒนาแจ้งว่าการรองรับ OpenPGP ใน Thunderbird เวอร์ชัน 78 นั้นยังไม่เสถียร โดยฟีเจอร์ดังกล่าวจะยังไม่ได้ถูกเปิดมาเป็นค่าเริ่มต้น แต่ผู้ที่สนใจสามารถทดลองใช้งานก่อนได้ โดยคาดว่าฟีเจอร์นี้น่าจะพัฒนาเสร็จสมบูรณ์ใน Thunderbird เวอร์ชัน 78.2 อย่างไรก็ตาม โปรแกรม Thunderbird เวอร์ชัน 78 ยังไม่รองรับการทำงานร่วมกับ Enigmail ผู้ที่จำเป็นต้องใช้งานปลั๊กอินดังกล่าวควรชะลอการอัปเดตไปก่อน

รายละเอียดเพิ่มเติมเกี่ยวกับการใช้งาน OpenPGP ใน Thunderbird และวิธีเปิดใช้งานสามารถศึกษาได้จาก https://wiki.mozilla.org/Thunderbird:OpenPGP

วันที่: 2020-07-17 | ที่มา: Thunderbird, Thunderbird | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน Cisco ออกแพตช์แก้ไขช่องระดับวิกฤตที่อาจถูกแฮกควบคุมอุปกรณ์ได้ ควรรีบอัปเดต

เมื่อวันที่ 15 กรกฎาคม 2563 บริษัท Cisco ได้ออกแพตช์แก้ไขช่องโหว่ประจำเดือน โดยในรอบนี้มีการแก้ไขช่องโหว่จำนวน 5 จุดที่เป็นช่องโหว่ระดับวิกฤต (Critical) ซึ่งอาจส่งผลให้ผู้ประสงค์ร้ายสามารถเจาะระบบเข้ามาควบคุมอุปกรณ์ได้จากระยะไกล

ช่องโหว่ทั้ง 5 จุดถูกประเมินระดับความรุนแรงตามเกณฑ์ CVSS ที่ 9.8 คะแนน โดยทั้ง 5 ช่องโหว่เป็นประเภท Remote Code Execute (RCE) ที่เปิดโอกาสให้ผู้ไม่หวังดีสามารถส่งคำสั่งอันตรายมาประมวลผลบนตัวอุปกรณ์ได้จากระยะไกล รายการผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าวประกอบด้วย

  1. CVE-2020-3330 - Cisco Small Business RV110W Wireless-N VPN Firewall
  2. CVE-2020-3323 - Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers
  3. CVE-2020-3144 - Cisco RV110W, RV130, RV130W, and RV215W Routers
  4. CVE-2020-3331 - Cisco RV110W and RV215W Series Routers
  5. CVE-2020-3140 - Cisco Prime License Manager

ทาง Cisco ระบุว่าทั้ง 5 ช่องโหว่นี้ไม่มีวิธีการตั้งค่าเพื่อลดผลกระทบ ผู้ดูแลระบบควรพิจารณาติดตั้งแพตช์โดยเร็วเพื่อลดความเสี่ยง อย่างไรก็ตาม ยังไม่มีรายงานการโจมตีผ่านช่องโหว่ดังกล่าว ทั้งนี้ ข้อมูลรายละเอียดแพตช์อื่น ๆ ของเดือนกรกฎาคม 2563 สามารถดูเพิ่มเติมได้จาก https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities

วันที่: 2020-07-16 | ที่มา: Bleeping Computer, Cisco | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ร้ายแรงในชุดซอฟต์แวร์ของ SAP อาจถูกแฮกระบบได้ เริ่มพบการโจมตีแล้ว ควรรีบแพตช์

SAP เป็นชุดซอฟต์แวร์สำเร็จรูปด้านธุรกิจที่ได้รับความนิยมในองค์กรขนาดใหญ่ โดยมี SAP NetWeaver เป็น software stack สำหรับแอปพลิเคชันที่ทำงานภายใต้ชุดซอฟต์แวร์นี้ เมื่อวันที่ 14 กรกฏาคม 2563 บริษัท SAP ได้ออกอัปเดตแก้ไขปัญหาช่องโหว่ที่มีผลกระทบกับ SAP NetWeaver AS JAVA (LM Configuration Wizard) เวอร์ชัน 7.30 ถึง 7.50 ช่องโหว่นี้ถูกตั้งชื่อว่า RECON (ย่อมาจาก Remotely Exploitable Code On NetWeaver) โดยเป็นลักษณะ remote code execution ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อสั่งประมวลผลโค้ดอันตรายบนเครื่องที่ใช้งาน SAP ได้จากระยะไกล การโจมตีสำเร็จได้โดยอัตโนมัติ ไม่ต้องยืนยันตัวตน และหากโจมตีสำเร็จจะได้สิทธิ์ในระดับสูง ช่องโหว่นี้มีรหัส CVE-2020-6287 ระดับความรุนแรง CVSS เต็ม 10

หากองค์กรใดเปิดให้ระบบ SAP สามารถเข้าถึงได้จากอินเทอร์เน็ตก็มีความเสี่ยงสูงที่จะถูกโจมตีจากช่องโหว่นี้ได้ จากข้อมูลของบริษัท Onapsis พบว่ามีองค์กรประมาณ 2,500 แห่งทั่วโลกที่ใช้งาน SAP เวอร์ชันที่มีช่องโหว่และเปิดให้ระบบดังกล่าวสามารถเข้าถึงได้จากอินเทอร์เน็ต ทั้งนี้เมื่อวันที่ 15 กรกฎาคม 2563 มีรายงานการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่ออกสู่สาธารณะและเริ่มพบการสแกนระบบที่มีช่องโหว่เพื่อโจมตีแล้ว ข้อมูลเพิ่มเติมและรายละเอียดของระบบที่ได้รับผลกระทบสามารถศึกษาได้จากเว็บไซต์ของ SAP (https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675) องค์กรที่ใช้งานระบบที่ได้รับผลกระทบควรตรวจสอบและเร่งดำเนินการติดตั้งแพตช์โดยเร็ว

วันที่: 2020-07-16 | ที่มา: Bleeping Computer, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ร้ายแรงใน Windows DNS Server อาจถูกแฮกเครื่องได้ ควรรีบอัปเดตแพตช์ประจำเดือนกรกฎาคม 2563

เมื่อวันที่ 14 กรกฎาคม 2563 บริษัท Microsoft ได้ปล่อยแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 123 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 18 จุด และเป็นช่องโหว่ระดับสำคัญ (Important) จำนวน 105 จุด ในรอบนี้หนึ่งในช่องโหว่ระดับวิกฤตนั้นมีผลกระทบสูงและอาจถูกใช้โจมตีเพื่อเจาะระบบและแพร่กระจายมัลแวร์ในเครือข่ายได้ ผู้ดูแลระบบควรรีบตรวจสอบและอัปเดตแพตช์โดยด่วน

ช่องโหว่ที่ควรให้ความสำคัญเป็นพิเศษในแพตช์รอบนี้คือช่องโหว่ชื่อ SIGRed (CVE-2020-1350) ซึ่งเป็นช่องโหว่ในบริการ Windows DNS Server ตัวช่องโหว่มีผลกระทบตั้งแต่ Windows Server 2003 ไปจนถึง 2019 สาเหตุของช่องโหว่เกิดจากข้อผิดพลาดในการประมวลผล DNS response ที่มีขนาดใหญ่เกินกว่าที่ระบบจะรองรับได้ ส่งผลให้สามารถโจมตีในลักษณะ remote code execution (RCE) เพื่อสั่งให้เครื่องเซิร์ฟเวอร์ประมวลผลคำสั่งอันตรายได้ เนื่องจากรูปแบบการโจมตีมีความซับซ้อนต่ำ สามารถโจมตีได้จากระยะไกล การโจมตีสามารถทำได้แบบอัตโนมัติและหากโจมตีสำเร็จจะได้สิทธิ์ในระดับสูง ทำให้ช่องโหว่นี้มีระดับความรุนแรง CVSS เต็ม 10 ทั้งนี้ตัวช่องโหว่ดังกล่าวยังมีลักษณะ wormable ซึ่งหมายความว่าสามารถแพร่กระจายไปยังเครื่องอื่น ๆ ภายในเครือข่ายได้อีกด้วย

ทางบริษัท Check Point ได้เผยแพร่รายละเอียดทางเทคนิคของช่องโหว่นี้ อีกทั้งเริ่มมีการพัฒนาโค้ดเพื่อใช้โจมตีช่องโหว่นี้แล้ว เพื่อป้องกันและลดความเสี่ยงถูกโจมตี ผู้ดูแลระบบควรตรวจสอบและอัปเดตแพตช์โดยเร็ว หากยังไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถตั้งค่าเพื่อลดความเสี่ยงตามคำแนะนำของ Microsoft ตามลิงก์ดังต่อไปนี้ https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

วันที่: 2020-07-15 | ที่มา: Bleeping Computer, CheckPoint | Share on Facebook Share on Twitter Share on Google+
ไทยเซิร์ตเปิดเว็บไซต์ Threat Group Cards Portal รวมข้อมูลกลุ่มผู้โจมตี ใช้งานร่วมกับ MISP ได้

ไทยเซิร์ตเปิดให้บริการเว็บไซต์ Threat Group Cards Portal ซึ่งเป็นระบบที่นำข้อมูลจากหนังสือ Threat Group Cards: A Threat Actor Encyclopedia มาจัดทำให้อยู่ในรูปแบบของเว็บไซต์เพื่อให้สามารถสืบค้นข้อมูลได้ง่าย โดยตัวเว็บไซต์จะประกอบไปด้วยข้อมูลกลุ่มผู้โจมตี เครื่องมือหรือมัลแวร์ที่เกี่ยวข้อง และสถิติการโจมตี

ข้อมูลที่เผยแพร่เป็นการรวบรวมจากแหล่งเปิด จุดประสงค์ของการพัฒนาระบบดังกล่าวเพื่อให้นักวิจัยหรือผู้ที่ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์ใช้เป็นแหล่งอ้างอิงหรือศึกษาข้อมูลเพิ่มเติมเพื่อประกอบการวิเคราะห์ โดยนอกจากระบบจะรองรับการสืบค้นข้อมูลผ่านเว็บไซต์แล้วยังเปิดให้ดาวน์โหลดข้อมูลในรูปแบบ JSON และ MISP เพื่อนำไปใช้งานต่อในรูปแบบอื่นได้อีกด้วย

ผู้ที่สนใจสามารถศึกษาข้อมูลเพิ่มเติมและใช้งานระบบดังกล่าวได้จาก https://apt.thaicert.or.th/

วันที่: 2020-07-15 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ในโปรแกรม Zoom อาจถูกแฮกเครื่องได้หากใช้งานบน Windows 7 หรือเก่ากว่า มีแพตช์แล้วควรรีบอัปเดต

[อัปเดตล่าสุด 13 กรกฎาคม 2563]

บริษัท ACROS Security ได้รายงานช่องโหว่ในโปรแกรม Zoom ที่อาจส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายบนเครื่องของเหยื่อจากระยะไกลได้ (RCE) โดยช่องโหว่ดังกล่าวมีผลกระทบหากใช้งานโปรแกรม Zoom บนระบบปฏิบัติการ Windows 7 หรือเก่ากว่า

อย่างไรก็ตาม รายละเอียดช่องโหว่และวิธีการโจมตียังไม่ถูกเปิดเผย โดยเบื้องต้นทาง ACROS Security ระบุว่าการโจมตีช่องโหว่นี้ต้องอาศัยผู้ใช้ร่วมด้วย เช่น การเปิดไฟล์ที่มีโค้ดอันตรายฝังอยู่ ทั้งนี้ ทาง Zoom ได้ออกแพตช์แก้ไขช่องโหว่แล้วเมื่อวันที่ 10 กรกฏาคม 2563 ล่าสุดยังไม่พบรายงานการโจมตีช่องโหว่นี้

เพื่อหลีกเลี่ยงและลดผลกระทบจากช่องโหว่ ผู้ที่ยังใช้งานโปรแกรม Zoom บน Windows 7 ควรรีบอัปเดตให้เป็นแพตช์ล่าสุดเวอร์ชัน 5.1.3 หรืออัปเกรดไปใช้งานระบบปฏิบัติการเวอร์ชันใหม่

วันที่: 2020-07-10 | ที่มา: 0patch, ZDNet | Share on Facebook Share on Twitter Share on Google+
สรุปข้อมูลช่องโหว่ใน security product ของ Palo Alto Networks, F5, Citrix, และ Juniper Networks

[อัปเดตล่าสุด 10 กรกฎาคม 2563]

ตั้งแต่ช่วงปลายเดือนมิถุนายน 2563 เป็นต้นมา มีรายงานช่องโหว่ระดังสูงในผลิตภัณฑ์ด้านความมั่นคงปลอดภัยที่นิยมใช้งานในองค์กร ประกอบด้วย Palo Alto Networks, F5, Citrix, และ Juniper โดยหลายช่องโหว่นั้นการโจมตีสามารถเกิดได้จากระยะไกลและหากโจมตีสำเร็จผู้โจมตีจะสามารถควบคุมอุปกรณ์หรือเข้าถึงข้อมูลในเครือข่ายได้ ผู้ดูแลระบบควรตรวจสอบและติดตั้งแพตช์โดยเร็ว

ผู้ผลิต: Palo Alto Networks
ผลิตภัณฑ์: PAN-OS 9.1, 9.0, 8.1, และ 8.0 (ช่องโหว่นี้ไม่มีผลกระทบกับ PAN-OS 7.1)
วันที่ประกาศ: 29 มิถุนายน 2563
ข้อมูลช่องโหว่: PAN-OS มีข้อผิดพลาดในการตรวจสอบการยืนยันตัวตนผ่าน SAML ส่งผลให้ผู้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลสำคัญในระบบได้ ช่องโหว่นี้มีรหัส CVE-2020-2021 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 10
สถานะแพตช์: มีแพตช์ให้กับ PAN-OS 9.1, 9.0, และ 8.1 แต่ไม่แพตช์ให้กับ PAN-OS 8.0 เนื่องจากสิ้นสุดระยะเวลาสนับสนุนทางเทคนิค
สถานะการโจมตี: ยังไม่พบรายงานการโจมตี แต่เริ่มมีการพัฒนาโค้ดสำหรับทดสอบช่องโหว่แล้ว
ข้อมูลเพิ่มเติม: https://security.paloaltonetworks.com/CVE-2020-2021

ผู้ผลิต: F5
ผลิตภัณฑ์: BIG-IP
วันที่ประกาศ: 1 กรกฎาคม 2563 อัปเดตล่าสุด 10 กรกฎาคม 2563
ข้อมูลช่องโหว่: ระบบบริการจัดการอุปกรณ์ (TMUI) มีช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายได้จากระยะไกล ตัวช่องโหว่มีรหัส CVE-2020-5902 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 10
สถานะแพตช์: มีแพตช์แล้ว และมีรายงานว่าวิธี mitigate ช่องโหว่นั้นอาจไม่สามารถช่วยป้องกันได้ ควรติดตั้งแพตช์โดยเร็ว
สถานะการโจมตี: โค้ดโจมตีช่องโหว่ถูกเผยแพร่สู่สาธารณะ มีรายงานการโจมตีแล้ว
ข้อมูลเพิ่มเติม: https://support.f5.com/csp/article/K52145254

ผู้ผลิต: Citrix
ผลิตภัณฑ์: ADC, Gateway, และ SD-WAN WANOP
วันที่ประกาศ: 7 กรกฎาคม 2563
ข้อมูลช่องโหว่: Citrix ออกแพตช์แก้ไขช่องโหว่ทั้งหมด 11 จุด โดยมีบางช่องโหว่ที่สามารถสั่งรันโค้ดอันตรายบนอุปกรณ์ได้ อย่างไรก็ตาม ช่องทางการโจมตียังมีความซับซ้อนและอาจต้องอาศัยการเข้าถึงเครือข่ายภายในร่วมด้วย
สถานะแพตช์: มีแพตช์แล้ว
สถานะการโจมตี: มีรายงานการสแกนเพื่อหาอุปกรณ์ที่ยังไม่ได้แพตช์ เริ่มมีการวิเคราะห์แพตช์เพื่อพัฒนาโค้ดสำหรับโจมตีช่องโหว่แล้ว
ข้อมูลเพิ่มเติม: https://www.citrix.com/blogs/2020/07/07/citrix-provides-context-on-security-bulletin-ctx276688/

ผู้ผลิต: Juniper Networks
ผลิตภัณฑ์: Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, และ 19.3 บนอุปกรณ์ SRX Series
วันที่ประกาศ: 8 กรกฎาคม 2563
ข้อมูลช่องโหว่: Junos OS ที่เปิด ICAP redirect service ข้อผิดพลาดในการประมวลผล HTTP message ส่งผลให้ระบบหยุดทำงาน (DoS) หรืออาจถูกสั่งรันโค้ดอันตรายได้ (RCE) ช่องโหว่นี้มีรหัส CVE-2020-1654 โจมตีได้จากระยะไกล ระดับความรุนแรง CVSS 9.8
สถานะแพตช์: มีแพตช์แล้ว
สถานะการโจมตี: ยังไม่พบรายงานการโจมตี และยังไม่พบการเผยแพร่โค้ดสำหรับโจมตีช่องโหว่
ข้อมูลเพิ่มเติม: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA11031&cat=SIRT_1&actp=LIST

ทั้งนี้ ไทยเซิร์ตได้ประสานเพื่อแจ้งเตือนหน่วยงานในประเทศไทยที่อาจได้รับผลกระทบจากช่องโหว่เหล่านี้แล้ว โดยจะอัปเดตข้อมูลช่องโหว่และรายงานการโจมตีให้ทราบเป็นระยะ

วันที่: 2020-07-10 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน ช่องโหว่ OS Command Injection ใน GlobalProtect portal อาจถูกแฮกอุปกรณ์ได้ ควรแพตช์

เมื่อวันที่ 8 กรกฎาคม 2563 บริษัท Palo Alto Networks ได้แจ้งเตือนช่องโหว่ OS Command Injection ใน PAN-OS ซึ่งเป็นซอฟต์แวร์ที่รันอยู่บนระบบ GlobalProtect ที่เป็นบริการในลักษณะ VPN/firewall ที่นิยมใช้ในองค์กรหลายแห่ง ช่องโหว่นี้ส่งผลให้ผู้ประสงค์ร้ายสามารถ brute force หน้า GlobalProtect portal เพื่อสั่งรันโค้ดอันตรายบนตัวอุปกรณ์ได้ โดยหากโจมตีสำเร็จจะได้สิทธิ์ root ของตัวอุปกรณ์ด้วย อย่างไรก็ตาม การจะโจมตีช่องโหว่นี้ได้นั้นผู้โจมตีจำเป็นต้องรู้ข้อมูลที่เกี่ยวข้องกับการตั้งค่าของตัวอุปกรณ์ด้วย ช่องโหว่นี้มีรหัส CVE-2020-2034 ระดับความรุนแรง CVSS base score อยู่ที่ 8.1

ช่องโหว่นี้ถูกแก้ไขแล้วใน PAN-OS 9.1.3, 8.1.15, และ 9.0.9 ส่วน PAN-OS เวอร์ชัน 8.0 และ 7.1 นั้นเนื่องจากสิ้นสุดระยะเวลาสนับสนุนแล้วจึงไม่มีอัปเดต ทั้งนี้ ตัวช่องโหว่มีผลกระทบเฉพาะกับระบบที่เปิดใช้งาน GlobalProtect portal เท่านั้น ถึงแม้จะยังไม่มีรายงานการโจมตีผ่านช่องโหว่ดังกล่าวและยังไม่พบตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ แต่ผู้ดูแลระบบควรตรวจสอบเวอร์ชันของ PAN-OS ที่ใช้งานและควรอัปเดตเวอร์ชันใหม่โดยเร็ว

วันที่: 2020-07-09 | ที่มา: Palo Alto Networks, Bleeping Computer | Share on Facebook Share on Twitter Share on Google+
Clear