Clear
Lead Graphic Papers

ข่าวสั้น

แจ้งเตือนช่องโหว่ระดับสำคัญและวิกฤตในผลิตภัณฑ์ vCenter Server, Cloud Foundation และ ESXi มีโค้ดสาธิตการโจมตีแล้ว ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 23 กุมภาพันธ์ 2564 ทางบริษัท VMWare ได้ออกแพตช์แก้ไขช่องโหว่ ซึ่งส่งผลกระทบกับผลิตภัณฑ์ vCenter Server, Cloud Foundation และ ESXi ผู้ดูแลระบบควรตรวจสอบและอัปเดตแพตช์โดยด่วน

ช่องโหว่ที่น่าสนใจ มีหมายเลข CVE-2021-21972 เป็นช่องโหว่ระดับวิกฤต (Critical) ระดับความรุนแรง CVSSv3 อยู่ที่ 9.8 คะแนน ส่งผลกระทบกับ vCenter Server เวอร์ชัน 6.5, 6.7 และ 7.0 Cloud Foundation เวอร์ชัน 3.x และ 4.x โดยเป็นช่องโหว่ประเภท Remote Code Execution (RCE) ที่เกิดในปลั๊กอิน vRealize Operations vCenter ซึ่งมาพร้อมกับการติดตั้ง vCenter Server ส่งผลให้ผู้ไม่หวังดีที่สามารถเข้าถึง port 443 สามารถใช้ vSphere Client (HTML5) ส่งคำสั่งอันตรายไปยังปลั๊กอินของ vCenter Server เพื่อเข้าควบคุมระบบด้วยสิทธิสูงสุดได้ ทั้งนี้ มีการเผยโค้ดสาธิตการโจมตีช่องโหว่ดังกล่าวแล้ว

ในส่วนช่องโหว่ในผลิตภัณฑ์ ESXi มีหมายเลข CVE-2021-21974 เป็นช่องโหว่ระดับสำคัญ (Important) ระดับความรุนแรง CVSSv3 อยู่ที่ 8.8 คะแนน ส่งผลกระทบในเวอร์ชัน 6.5, 6.7 และ 7.0 โดยเป็นช่องโหว่ประเภท Heap overflow ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขการทำงานของโปรแกรมหรือรันคำสั่งอันตรายได้ อย่างไรก็ตาม ยังไม่มีรายงานว่ามีการโจมตีช่องโหว่นี้แต่อย่างใด

เพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วน หากยังไม่สามารถอัปเดตแพตช์ได้ผู้ดูแลระบบสามารถปฏิบัติตามขั้นตอนในลิงก์ต่อไปนี้เพื่อแก้ไขปัญหาชั่วคราวได้ (CVE-2021-21972: https://kb.vmware.com/s/article/82374, CVE-2021-21974: https://kb.vmware.com/s/article/76372)

วันที่: 2021-02-25 | ที่มา: VMWare, tenable | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนกุมภาพันธ์ 2564 มีช่องโหว่ระดับวิกฤตหลายรายการ ควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 10 กุมภาพันธ์ 2564 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมดจำนวน 56 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) 11 จุด ช่องโหว่ระดับปานกลาง (Moderate) จำนวน 2 จุด และช่องโหว่ระดับสำคัญ (Important) จำนวน 43 จุด ในรอบนี้มีการแก้ไขช่องโหว่ 0-day จำนวน 1 จุด และช่องโหว่ที่ถูกเผยแพร่แล้วจำนวน 6 จุด

ช่องโหว่ 0-day มีหมายเลข CVE-2021-1732 เป็นช่องโหว่ประเภท Privilege Escalation พบใน Win32k.sys ส่งผลให้ผู้ไม่หวังดีสามารถยกระดับสิทธิเป็นผู้ดูแลระบบได้ ช่องโหว่ที่ถูกเผยแพร่เป็นช่องโหว่ระดับวิกฤตจำนวน 1 จุด มีหมายเลข CVE-2021-26701 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ส่งผลกระทบกับ .NET Core ทำให้ผู้ไม่หวังดีสามารถสั่งรันโค้ดอันตรายเพื่อควบคุมเครื่องเหยื่อจากระยะไกลได้

นอกจากนี้ ยังมีช่องโหว่หมายเลข CVE-2021-24074, CVE-2021-24094 และ CVE-2021-24086 เป็นช่องโหว่ประเภท RCE และ Denial of Service (DoS) ทำให้ผู้ไม่หวังดีสามารถทำให้เครื่องของเหยื่อไม่สามารถใช้งานได้ชั่วขณะ ส่งผลกระทบกับ Windows TCP/IP ทั้งใน Windows client และ server

เนื่องจากมีช่องโหว่ที่ถูกใช้โจมตีแล้ว เพื่อหลีกเลี่ยงและลดความเสี่ยงที่อาจเกิดขึ้นผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วน โดยสามารถตรวจสอบผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ รวมถึงวิธีแก้ไขปัญหาเบื้องต้นช่องโหว่ Windows TCP/IP ได้จาก (https://msrc.microsoft.com/update-guide/vulnerability)

วันที่: 2021-02-10 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ Google Chrome กระทบเวอร์ชัน Desktop ผู้ใช้งานควรรีบอัปเดต

เมื่อวันที่ 4 กุมภาพันธ์ 2564 บริษัท Google ได้ออกโปรแกรม Google Chrome เวอร์ชัน 88.0.4324.150 สำหรับผู้ใช้งาน desktop บนระบบปฏิบัติการ Windows, Mac และ Linux เพื่อแก้ไขปัญหาช่องโหว่ระดับวิกฤต (Critical) ซึ่งมีรายงานว่าถูกใช้โจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-21148 เป็นช่องโหว่ประเภท Heap buffer overflow ใน V8 JavaScript Engine ส่งผลให้ผู้ไม่หวังดีสามารถแก้ไขค่าในหน่วยความจำเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อได้

เพื่อป้องกันและหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้งาน Google Chrome เวอร์ชัน desktop ควรตรวจสอบและอัปเดตให้เป็นเวอร์ชันล่าสุด

วันที่: 2021-02-09 | ที่มา: Bleeping Computer, Google | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน โปรแกรม NoxPlayer ถูกโจมตี ผู้ใช้งานควรตรวจสอบและพิจารณาถอนการติดตั้งหรือหยุดใช้งานชั่วคราว

[อัปเดต ณ วันที่ 5 กุมภาพันธ์ 2564]

เมื่อวันที่ 3 กุมภาพันธ์ 2564 ทาง ESET ได้รับรายงานจากผู้พัฒนาแจ้งว่าได้เพิ่มไฟล์อัปเดตล่าสุดไปยังเซิฟเวอร์แล้ว และเมื่อผู้ใช้งานเปิด NoxPlayer จะมีการตรวจสอบความถูกต้องของไฟล์ที่ติดตั้งไว้ก่อนหน้านี้ในเครื่องผู้ใช้

เมื่อวันที่ 1 กุมภาพันธ์ 2564 นักวิจัยจากบริษัท ESET รายงานว่าโปรแกรม NoxPlayer ซึ่งเป็นโปรแกรมสำหรับจำลองระบบปฏิบัติการ Android บนคอมพิวเตอร์ทั้งใน Windows และ macOS มีผู้ใช้งานกว่า 150 ล้านรายทั่วโลก ถูกโจมตีในลักษณะ Supply chain attack ส่งผลกระทบทำให้อาจมีโปรแกรมอันตรายหรือมัลแวร์ติดตั้งในเครื่องของผู้ใช้งาน

การโจมตีดังกล่าวใช้ชื่อว่า Operation NightScout ซึ่งทาง ESET เริ่มสังเกตเห็นในเดือนกันยายน 2563 พบว่าในขั้นตอนอัปเดตโปรแกรม NoxPlayer มีการดาวน์โหลดมัลแวร์ประเภท Remote Access Trojan (RAT) เข้ามาด้วย ส่งผลให้ผู้ไม่หวังดีสามารถเข้าควบคุมเครื่องหรือขโมยข้อมูลของเหยื่อได้จากระยะไกล อย่างไรก็ตาม ทาง ESET ได้รายงานปัญหาไปยังผู้พัฒนาโปรแกรมแล้ว แต่ยังไม่มีรายงานถึงเวอร์ชันและจำนวนผู้ได้รับผลกระทบ

เพื่อลดความเสี่ยงและผลกระทบที่อาจเกิดขึ้น ผู้ใช้งานควรตรวจสอบว่าตกเป็นเหยื่อหรือไม่ โดยตรวจสอบจากไฟล์ที่สร้างโดยผู้ไม่หวังดี

  • C:\ProgramData\Sandboxie\SbieIni.dat
  • C:\ProgramData\Sandboxie\SbieDll.dll
  • C:\ProgramData\LoGiTech\LBTServ.dll
  • C:\Program Files\Internet Explorer\ieproxysocket64.dll
  • C:\Program Files\Internet Explorer\ieproxysocket.dll

หรือพบการเชื่อมต่อกับเครื่องของผู้ไม่หวังดี

  • 210.209.72[.]180
  • 103.255.177[.]138
  • 185.239.226[.]172
  • 45.158.32[.]65
  • cdn.cloudistcdn[.]com
  • q.cloudistcdn[.]com
  • update.boshiamys[.]com

โดยหากตกเป็นเหยื่อ ควรพิจารณาถอนการติดตั้งหยุดใช้งานโปรแกรมชั่วคราว รวมถึงพิจารณาติดตั้งระบบปฏิบัติการและซอฟต์แวร์ใหม่จากแหล่งน่าเชื่อถือเพื่อให้แน่ใจว่าไม่มีมัลแวร์แฝงอยู่ในระบบ หากไม่ได้รับผลกระทบและไม่อยากถอนการติดตั้ง ผู้ใช้งานควรระงับการดาวน์โหลดหรืออัปเดตใด ๆ จนกว่าจะมีประกาศจากผู้พัฒนาว่าได้แก้ปัญหาดังกล่าวแล้ว

วันที่: 2021-02-02 | ที่มา: Bleeping Computer, ESET | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ในระบบปฏิบัติการ iOS ถูกใช้โจมตีจริงแล้ว ผู้ใช้งานควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 27 มกราคม 2564 ทางบริษัท Apple ได้ออกแพตช์แก้ไขช่องโหว่ จำนวน 3 จุด ซึ่งส่งผลกระทบกับระบบปฎิบัติการ iOS เวอร์ชันที่ต่ำกว่า 14.4 ซึ่งช่องโหว่ทั้ง 3 จุดเป็นช่องโหว่ลักษณะ 0-day ที่ถูกใช้โจมตีอย่างแพร่หลาย ผู้ที่ได้รับผลกระทบจึงควรอัปเดตเพื่อแก้ไขโดยเร็ว

ช่องโหว่แรกมีหมายเลข CVE-2021-1782 เป็นช่องโหว่ประเภท Race condition ซึ่งส่งผลกระทบในระดับ Kernel ของระบบปฏิบัติการทำให้ผู้ไม่หวังดีสามารถยกระดับสิทธิ์ในการโจมตีได้ ส่วนอีก 2 ช่องโหว่มีหมายเลข CVE-2021-1870 และ CVE-2021-1871 เป็นช่องโหว่ประเภท Remote Code Execute ใน WebKit browser engine ทำให้ผู้ไม่หวังดีสามารถรันโค้ดอันตรายบนเครื่องเหยื่อได้จากระยะไกล

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยคาดว่าผู้ไม่หวังดีใช้ประโยชน์จากช่องโหว่ทั้ง 3 จุดในการโจมตีร่วมกัน โดยการหลอกให้ผู้ใช้งานเข้าเว็บไซต์อันตรายเพื่อรันโค้ดในการโจมตีช่องโหว่ WebKit จากนั้นจึงโจมตีเพื่อยกระดับสิทธิ์ในภายหลัง

อย่างไรก็ตาม Apple ได้ออกแพตช์แก้ไขช่องโหว่ดังกล่าวทั้งหมดแล้ว เพื่อป้องกันและลดความเสี่ยงที่อาจเกิดขึ้นผู้ใช้งานควรอัปเดตระบบปฏบัติการ iOS ให้เป็นเวอร์ชัน 14.4 โดยด่วน

วันที่: 2021-01-28 | ที่มา: Apple, ZDNet | Share on Facebook Share on Twitter Share on Google+
พบช่องโหว่ sudo ใน Linux ผู้ใช้ทั่วไปสามารถยกระดับสิทธิเป็น root ได้ อัปเดตโดยด่วน (CVE-2021-3156)

เมื่อวันที่ 26 มกราคม 2564 นักวิจัยจากบริษัท Qualys ได้ประกาศการพบช่องโหว่ในคำสั่ง sudo ที่ส่งผลให้ยกระดับสิทธิผู้ใช้ทั่วไปเป็น root (CVE-2021-3156) โดยนักวิจัยสามารถสร้างโค้ดสาธิตการโจมตีได้สำเร็จในระบบปฏิบัติการ Ubuntu 20.04 Debian 10 และ Fedora 33 แต่ยังไม่ได้เผยแพร่โค้ดดังกล่าวสู่สาธารณะ ผู้ดูแลระบบที่ได้รับผลกระทบจึงควรรีบแก้ไขเพื่อปิดช่องโหว่

ทั้งนี้ ช่องโหว่ที่พบเป็นช่องโหว่ลักษณะ heap-based buffer overflow ที่เกิดจากข้อผิดพลาดในการการตรวจสอบ escape character ใน argument เมื่อใช้งาน sudoedit แบบ shell mode (sudoedit -s หรือ -i) ส่งผลให้ผู้ไม่หวังดีสามารถใช้ช่องโหว่ในการยกระดับสิทธิได้

ช่องโหว่ดังกล่าวส่งผลกระทบกับ sudo เวอร์ชัน 1.8.2 -1.8.31p2 และ 1.9.0 -1.9.5p1 ผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชัน 1.9.5p2 และตรวจสอบว่ายังได้รับผลกระทบหรือไม่ด้วยการพิมพ์คำสั่ง "sudoedit -s /" หากอัปเดตสำเร็จจะได้ผลลัพธ์เป็นข้อความ usage: ตามด้วยข้อความอธิบายการใช้งาน sudoedit

วันที่: 2021-01-28 | ที่มา: Qualys | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนมกราคม 2564 ผู้ใช้งานควรพิจารณาอัปเดต

เมื่อวันที่ 13 มกราคม 2563 ทางบริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 83 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) 10 จุด และช่องโหว่สำคัญ (Important) 73 จุด ในรอบนี้มีการแก้ไขช่องโหว่ 0-day จำนวน 1 จุด และช่องโหว่ที่ถูกเผยแพร่แล้วอีก 1 จุด

ช่องโหว่ 0-day ที่พบเป็นช่องโหว่ความรุนแรงระดับวิกฤต มีหมายเลข CVE-2021-1647 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ในโปรแกรม Microsoft Defender ทำให้ผู้ไม่หวังดีสามารถโจมตีเครื่องเป้าหมายด้วยโค้ดอันตรายเพื่อเข้าควบคุมเครื่องจากระยะไกลได้ ส่วนช่องโหว่ที่ถูกเผยแพร่ เป็นช่องโหว่ความรุนแรงระดับสำคัญ มีหมายเลข CVE-2021-1648 เป็นช่องโหว่ประเภท Privilege Escalation ใน Microsoft splwow64 ทำให้ผู้ไม่หวังดีสามารถโจมตีเพื่อยกระดับสิทธิ์เป็นผู้ดูแลระบบได้

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้งานควรอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันและลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

วันที่: 2021-01-13 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
ระวังภัย พบการส่งลิงก์ฟิชชิ่งผ่าน LINE หลอกให้ลงทะเบียนรับแก้ว Starbucks อย่าคลิก

ไทยเซิร์ตได้รับรายงานการแพร่กระจายลิงก์ฟิชชิ่งผ่าน LINE และ WhatsApp โดยลักษณะเป็นการส่งข้อความภาษาไทย แจ้งให้เข้าร่วมกิจกรรมเพื่อรับแก้ว Starbucks พร้อมแนบลิงก์สำหรับเข้าร่วมกิจกรรมดังกล่าว อย่างไรก็ตาม ลิงก์ที่ส่งมาไม่ใช่เว็บไซต์ของ Starbucks แต่เป็นเว็บไซต์ปลอมที่แอบอ้างชื่อและโลโก้ หากคลิกเล่นกิจกรรมในหน้าเว็บไซต์ดังกล่าวไปจนถึงขั้นตอนสุดท้ายจะพบการแจ้งให้ส่งข้อความผ่าน WhatsApp หรือ LINE เพื่อเผยแพร่ลิงก์ของเว็บไซต์ฟิชชิ่งให้บุคคลอื่นต่อไป

การส่งลิงก์ฟิชชิ่งเพื่อหลอกให้เข้าเว็บไซต์กิจกรรมชิงรางวัลนั้นเป็นหนึ่งในรูปแบบการโจมตีลักษณะสแกม (scam) ซึ่งในช่วงหลังการโจมตีในลักษณะนี้พบมากขึ้นในช่องทางโปรแกรมแช็ทหรือ SMS เนื่องจากการส่งลิงก์ฟิชชิ่งผ่านช่องทางเหล่านี้มักไม่ได้มีกระบวนการตรวจสอบเว็บไซต์ปลอมที่ทำงานได้ดีเท่าระบบคัดกรองอีเมล อีกทั้งการเปิดลิงก์ฟิชชิ่งผ่านช่องทางดังกล่าวมักเกิดขึ้นบนโทรศัพท์มือถือซึ่งเบราว์เซอร์หรือตัวผู้ใช้งานเองอาจไม่สามารถสังเกตความผิดปกติของ URL ได้ดีเท่าการเปิดบนคอมพิวเตอร์

ถึงแม้ระดับความเสียหายของการโจมตีแบบสแกมอาจยังไม่มากเท่าการโจมตีแบบฟิชชิ่งหรือมัลแวร์ แต่ก็มีความเป็นไปได้ที่ตัวเว็บไซต์สแกมอาจถูกเปลี่ยนเป็นหน้าฟิชชิ่งหรือใช้เพื่อแพร่กระจายมัลแวร์ในภายหลังได้ ผู้ใช้ควรตระหนักและระมัดระวังการคลิกลิงก์หรือส่งต่อข้อความในลักษณะที่น่าสงสัย เช่น ส่งข้อความผ่านบุคคลอื่น หรือลิงก์สำหรับเข้าร่วมกิจกรรมไม่ใช่เว็บไซต์จริงของบริการ เพราะอาจตกเป็นเหยื่อของการโจมตีได้

วันที่: 2020-12-18 | ที่มา: - | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน SolarWinds ถูกแฮกฝังโค้ดมัลแวร์ในผลิตภัณฑ์ Orion มีการโจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 13 ธันวาคม 2563 มีรายงานว่าหน่วยงานภาครัฐหลายแห่งในประเทศสหรัฐอเมริกาถูกเจาะระบบโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนระดับประเทศ (state-sponsored attack) ในรายงานระบุว่าหน่วยงานเหล่านั้นถูกโจมตีผ่านระบบ SolarWinds ซึ่งเป็นซอฟต์แวร์บริหารจัดการและตรวจสอบสถานะของอุปกรณ์ในเครือข่าย เบื้องต้นทาง SolarWinds ได้ออกแถลงการณ์ว่าระบบถูกเข้าถึงโดยไม่ได้รับอนุญาต และซอฟต์แวร์ที่เผยแพร่ในระหว่างช่วงเดือนมีนาคมถึงมิถุนายนปี 2563 นั้นถูกดัดแปลงเพื่อฝังโค้ดอันตราย (supply chain attack) โดยซอฟต์แวร์ที่ได้รับผลกระทบคือ SolarWinds Orion Platform เวอร์ชัน 2019.4 HF 5, 2020.2 และ 2020.2 HF 1

ทาง SolarWinds ได้แจ้งเตือนให้ผู้ใช้งานรีบอัปเดตซอฟต์แวร์ Orion Platform สำหรับผู้ใช้งานเวอร์ชัน 2019.4 HF 5 หรือต่ำกว่าให้อัปเดตเป็น 2019.4 HF 6 และสำหรับผู้ใช้งานเวอร์ชัน 2020.2 หรือ 2020.2 HF 1 ให้อัปเดตเป็นเวอร์ชัน 2020.2.1 HF 1 โดยเร็วที่สุดเพื่อลดความเสี่ยง รวมถึงจะออกอัปเดตเวอร์ชัน 2020.2.1 HF 2 ในวันที่ 15 ธันวาคม 2563 เพื่อปรับปรุงความมั่นคงปลอดภัยเพิ่มเติมด้วย (อ้างอิง https://www.solarwinds.com/securityadvisory)

ทีมวิจัยด้านความมั่นคงปลอดภัยจาก Microsoft ให้ข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี โดยได้เรียกเหตุการณ์นี้ว่า Solorigate รูปแบบการโจมตีเป็นการแทรกโค้ดในโปรแกรม SolarWinds Orion Platform เพื่อให้โหลดไฟล์ DLL ของมัลแวร์ขึ้นมาทำงาน โดยมัลแวร์ดังกล่าวจะทำหน้าที่เป็น backdoor ติดต่อและส่งข้อมูลกลับไปยังเครื่องสั่งการและควบคุม (command and control หรือ C2) โดยทาง Microsoft ได้เผยแพร่รายการ IoC รวมถึงออกอัปเดตฐานข้อมูลของ Windows Defender เพื่อตรวจจับไฟล์มัลแวร์ดังกล่าวแล้ว (อ้างอิง https://msrc-blog.microsoft.com/2020/12/13/customer-guidance-on-recent-nation-state-cyber-attacks)

ทาง FireEye ได้เผยแพร่บทวิเคราะห์การโจมตีโดยละเอียด ทั้งภาพรวมการโจมตี บทวิเคราะห์มัลแวร์ และข้อมูล IoC ของไฟล์และโดเมนที่เกี่ยวข้อง (อ้างอิง https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html) ทั้งนี้ มีรายงานว่ากลุ่มผู้ที่โจมตี SolarWinds น่าจะเป็นกลุ่มเดียวกับที่เจาะระบบของบริษัท FireEye และขโมยเครื่องมือสำหรับใช้เจาะระบบออกมา (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-12-09-01.html)

ทีมไทยเซิร์ตอยู่ระหว่างการรวบรวมข้อมูลและประสานกับหน่วยงานที่เกี่ยวข้อง เนื่องจากพบว่ามีการใช้งานผลิตภัณฑ์ SolarWinds Orion Platform ในประเทศไทยด้วย ทั้งนี้ หน่วยงานที่มีการใช้งาน SolarWinds โปรดติดตามข่าวสาร อัปเดตแพตช์ และตรวจสอบข้อมูล IoC เพื่อประเมินสถานการณ์การโจมตี

วันที่: 2020-12-14 | ที่มา: SANS, Washington Post | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนธันวาคม 2563 ผู้ใช้งานควรพิจารณาอัปเดต

เมื่อวันที่ 9 ธันวาคม 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 58 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 9 จุด และช่องโหว่สำคัญ (Important) จำนวน 48 จุด อย่างไรก็ตาม ไม่พบรายงานการโจมตีหรือมีการเผยแพร่ช่องโหว่ใด ๆ ในรอบนี้

ช่องโหว่ที่น่าสนใจมีด้วยกัน 3 ช่องโหว่ ได้แก่

  1. ช่องโหว่หมายเลข CVE-2020-17095 เป็นช่องโหว่ประเภท Remote Code Execution (RCE) ใน Hyper-V ส่งผลกระทบให้ผู้ไม่หวังดีสามารถรันโปรแกรมอันตรายใน VM เพื่อเข้าควบคุมในส่วนโฮสต์ได้
  2. ช่องโหว่หมายเลข CVE-2020-17096 เป็นช่องโหว่ประเภท RCE ใน Windows NTFS อนุญาตให้ผู้ไม่หวังดีสามารถรันคำสั่งอันตรายจากระยะไกลผ่านโพรโทคอล SMBv2 เพื่อยกระดับสิทธิ์ได้
  3. ช่องโหว่หมายเลข CVE-2020-17099 เป็นช่องโหว่ใน Windows Lock Screen ทำให้ผู้ไม่หวังดีสามารถรันคำสั่งอันตรายบนเครื่องที่ยังไม่ได้ปลดล๊อกหน้าจอ

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้งานควรอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันและลดความเสี่ยงจากการถูกโจมตีที่อาจเกิดขึ้น

วันที่: 2020-12-09 | ที่มา: Bleeping Computer, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน เครื่องมือทดสอบเจาะระบบของ FireEye รั่วไหล ทางบริษัทเผยแพร่ข้อมูลตั้งค่าเพื่อลดความเสี่ยงแล้ว ผู้ดูแลระบบควรรีบอัปเดต

เมื่อวันที่ 9 ธันวาคม 2563 บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ FireEye ได้ออกมาเปิดเผยว่าทางบริษัทถูกผู้ไม่หวังดีโจมตีและเข้าถึงข้อมูลภายใน ทำให้ข้อมูลทางด้านเทคนิคและเครื่องมือสำหรับทดสอบเจาะระบบความปลอดภัยให้กับลูกค้ารั่วไหล FireEye ให้ข้อมูลเพิ่มเติมว่าเครื่องมือที่หลุดไปนั้นไม่ได้ใช้ช่องโหว่ 0-day แต่เป็นช่องโหว่เก่าที่เป็นที่รู้จักจำนวน 16 รายการในผลิตภัณฑ์ต่าง ๆ เช่น Pulse Secure SSL VPN, Microsoft Active Directory บางช่องโหว่ส่งผลกระทบรุนแรงให้ผู้ไม่หวังดีควบคุมระบบได้

เพื่อลดผลกระทบ FireEye ได้เผยแพร่ rule สำหรับตั้งค่าในอุปกรณ์รักษาความปลอดภัยและข้อมูลช่องโหว่ที่เกี่ยวข้อง เพื่อรับมือภัยคุกคามที่อาจเกิดขึ้นจากการนำเครื่องมือและข้อมูลดังกล่าวมาโจมตี รวมถึงได้อัปเดตการตรวจจับในผลิตภัณฑ์ของตัวเอง และได้แจ้งข้อมูลไปยังผู้ผลิตอุปกรณ์ด้านความมั่นคงปลอดภัยรายอื่นแล้ว

สำหรับผู้ดูแลระบบที่สนใจสามารถศึกษารายละเอียดช่องโหว่ที่เครื่องมือใช้โจมตีและ rule สำหรับตรวจจับที่ทาง Fireeye ซึ่งเผยแพร่อยู่ในรูปแบบต่าง ๆ (Snort, Yara, ClamAV, OpenIOC) ได้ที่ https://github.com/fireeye/red_team_tool_countermeasures

วันที่: 2020-12-09 | ที่มา: FireEye, Twitter, Github | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบการโจมตีช่องโหว่ใน Fortinet VPN อาจถูกขโมยบัญชีและรหัสผ่าน หน่วยงานในไทยกระทบด้วย ควรรีบอัปเดตและเปลี่ยนรหัสผ่าน

เมื่อวันที่ 19 พฤศจิกายน 2563 มีรายงานการเผยแพร่ IP ของอุปกรณ์ Fortinet VPN ที่มีช่องโหว่ CVE-2018-13379 จำนวนประมาณ 49,000 เครื่อง โดยเป็นอุปกรณ์ในไทยกว่า 900 เครื่อง พร้อมตัวอย่างโค้ดโจมตีช่องโหว่ที่สามารถใช้ขโมยบัญชีและรหัสผ่านจากตัวอุปกรณ์ได้

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ประเภท path traversal ในเว็บพอร์ทัลของอุปกรณ์ Fortinet VPN ผู้ประสงค์ร้ายสามารถส่ง HTTP request อันตรายเพื่อเข้าถึงไฟล์ระบบของอุปกรณ์ รวมถึงข้อมูลการตั้งค่า เช่น ชื่อบัญชีผู้ใช้และรหัสผ่านสำหรับบริหารจัดการอุปกรณ์ Fortinet VPN ตัวช่องโหว่มีผลกระทบกับอุปกรณ์ที่ใช้ FortiOS เวอร์ชัน 6.0.0-6.0.4, 5.6.3-5.6.7 และ 5.4.6-5.4.12

ต่อมา เมื่อวันที่ 25 พฤศจิกายน 2563 มีรายงานการเผยแพร่ชื่อบัญชีและรหัสผ่านสำหรับเข้าถึงอุปกรณ์ Fortinet VPN ที่ยังไม่ได้รับการแก้ไขช่องโหว่ ซึ่งข้อมูลดังกล่าวมีความเสี่ยงที่อาจทำให้หน่วยงานที่ยังคงใช้งานอุปกรณ์เหล่านั้นถูกเจาะระบบ ข้อมูลรั่วไหล ติดมัลแวร์เรียกค่าไถ่ หรือเกิดความเสียหายอื่น ๆ ต่อระบบเครือข่ายของหน่วยงานได้

ทั้งนี้ ไทยเซิร์ตอยู่ระหว่างการประสานไปยังหน่วยงานที่ได้ผลกระทบเพื่อขอให้ตรวจสอบและแก้ไขปัญหา โดยผู้ดูแลระบบที่ใช้งานอุปกรณ์ที่มีช่องโหว่ควรอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อลดความเสี่ยง รวมถึงเปลี่ยนรหัสผ่านของอุปกรณ์เนื่องจากอาจมีความเสี่ยงรหัสผ่านรั่วไหล ทั้งนี้ หน่วยงานที่ใช้งานอุปกรณ์ Fortinet VPN สามารถศึกษาข้อมูลเพิ่มเติมเรื่องแพตช์และการตั้งค่าระบบความมั่นคงปลอดภัยได้จากข้อแนะนำของทาง Fortinet (https://www.fortinet.com/blog/business-and-technology/atp-29-targets-ssl-vpn-flaws)

วันที่: 2020-11-23 | ที่มา: Bleeping Computer, National Vulnerability Database | Share on Facebook Share on Twitter Share on Google+
Microsoft ออกแพตช์ความมั่นคงปลอดภัยประจำเดือนพฤศจิกายน 2563 แก้ไขช่องโหว่ที่ถูกใช้โจมตีแล้ว ควรรีบอัปเดต

เมื่อวันที่ 11 พฤศจิกายน 2563 บริษัท Microsoft ได้ออกแพตช์ความมั่นคงปลอดภัยประจำเดือน โดยมีช่องโหว่ที่ถูกแก้ไขทั้งหมด 112 จุด เป็นช่องโหว่ระดับวิกฤต (Critical) จำนวน 17 จุด และช่องโหว่สำคัญ (Important) จำนวน 93 จุด ในแพตช์รอบนี้มีการแก้ไขช่องโหว่จำนวน 1 จุดที่มีรายงานว่าถูกใช้โจมตีแล้ว

ช่องโหว่ที่มีรายงานการโจมตีแล้วคือช่องโหว่รหัส CVE-2020-17087 ซึ่งเป็นช่องโหว่ระดับวิกฤตประเภท Remote Code Execution (RCE) ใน Windows Kernel Cryptography Driver (cng.sys) ระดับความรุนแรง CVSS 7.8 ผลกระทบจากช่องโหว่เปิดโอกาสให้ผู้ไม่หวังดีสามารถควบคุมเครื่องของเหยื่อได้จากระยะไกล ทั้งนี้ถึงแม้ในรายงานจะระบุว่าช่องโหว่นี้ถูกใช้ในการโจมตีแบบเจาะจงเป้าหมาย แต่ยังไม่มีการเปิดเผยรายละเอียดทางเทคนิคของช่องโหว่ดังกล่าว

เนื่องจากแพตช์ประจำเดือนมีจุดประสงค์เพื่อแก้ไขปัญหาช่องโหว่ด้านความมั่นคงปลอดภัย ผู้ใช้ทั่วไปและผู้ดูแลระบบควรพิจารณาอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตี

วันที่: 2020-11-11 | ที่มา: ZDNet, Microsoft | Share on Facebook Share on Twitter Share on Google+
แจ้งเตือน พบช่องโหว่ร้ายแรงในปลั๊กอิน Ultimate Member ของ WordPress อาจถูกแฮกเว็บไซต์ได้ ควรรีบอัปเดต

เมื่อวันที่ 9 พฤศจิกายน 2563 ทีม Wordfence ผู้ให้บริการด้านความมั่นคงปลอดภัยสำหรับ WordPress ได้รายงานช่องโหว่ระดับวิกฤต (Critical) จำนวน 3 จุดในปลั๊กอิน Ultimate Member ซึ่งเป็นปลั๊กอินที่ใช้สำหรับบริหารจัดการสิทธิของสมาชิกในเว็บไซต์ โดยมียอดติดตั้งและใช้งานในเว็บไซต์กว่า 100,000 แห่ง

จากรายงาน ทั้ง 3 ช่องโหว่เป็นประเภท Privilege Escalation ที่ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อได้สิทธิของผู้ดูแลระบบ WordPress หากโจมตีสำเร็จจะสามารถแก้ไขหน้าเว็บไซต์หรืออัปโหลดไฟล์อันตรายขึ้นมาบนเว็บไซต์ได้ ตัวช่องโหว่มีระดับความรุนแรง CVSS ที่ 9.9 และ 10 คะแนน มีผลกระทบกับปลั๊กอิน Ultimate Member เวอร์ชัน 2.1.11 หรือเวอร์ชันที่ต่ำกว่า

ทางผู้พัฒนาปลั๊กอิน Ultimate Member ได้ออกอัปเดตเวอร์ชัน 2.1.12 เพื่อแก้ไขช่องโหว่แล้ว เพื่อหลีกเลี่ยงและป้องกันความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลเว็บไซต์ควรรีบอัปเดตปลั๊กอินให้เป็นเวอร์ชันปัจจุบันโดยด่วน

วันที่: 2020-11-10 | ที่มา: Bleeping Computer, Wordfence | Share on Facebook Share on Twitter Share on Google+
Clear