คลังเก็บป้ายกำกับ: THREATS_UPDATE

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี

Bob Diachenko นักวิจัยด้านความมั่นคงปลอดภัยจาก Security Discovery ได้พบและแจ้งเหตุการณ์ข้อมูลรั่วไหลของเซิร์ฟเวอร์ Elastics 5 ตัวของ Microsoft (คาดว่าเป็น Mirror กัน) ซึ่งภายในนั้นมีฐานข้อมูล Customer Support ของลูกค้าที่เข้าถึงได้กว่า 250 ล้านรายการ โดยทาง Microsoft ได้ออกมาแถลงและชี้ว่า Azure Security Rule ถูกคอนฟิคไว้ผิดพลาดทำให้เซิร์ฟเวอร์ถูกเข้าถึงได้ระหว่างในช่วงวันที่ 5 ถึง 30 ธันวาคมปีก่อน ทั้งนี้ได้แจ้งลูกค้าที่ได้รับผลกระทบแล้ว

เคราะห์ดีคือข้อมูลส่วนใหญ่ไม่ได้มีข้อมูลส่วนบุคคลมากนักเช่น อีเมล รายละเอียดของปัญหาเพื่อการ Support เป็นต้น นอกจากนี้ข้อมูลเหล่านั้นจะถูกเครื่องมืออัตโนมัติของ Microsoft ทำการตัดออกข้อมูลส่วนบุคคลออก ยกเว้นจะมีลูกค้าบางรายที่ให้ข้อมูลไม่ได้มาตรฐานเช่นใส่อีเมลไว้ username @domain.com (เว้นช่องว่าง) เครื่องมือก็จะไม่ทำอะไร โดย Microsoft เองก็ไม่ได้นิ่งนอนใจและออกมาตรการแก้ไขต่อไปดังนี้

  • จะทำการ Audit Rule ด้านความมั่นคงปลอดภัยที่ใช้ภายใน
  • ขยายขอบเขตกลไกการตรวจหา Rule ที่ตั้งค่าผิดพลาด
  • พัฒนากระบวนการตรวจทานข้อมูลอัตโนมัติเพิ่มเติม (เครื่องมืออัตโนมัติที่ตัดแก้ไขข้อมูล)
  • เพิ่มการแจ้งเตือนแก่ทีมที่ดูแลหากพบความผิดพลาดของ Security Rule

ที่มา :  https://www.zdnet.com/article/microsoft-discloses-security-breach-of-customer-support-database/ และ  https://www.bleepingcomputer.com/news/security/microsoft-exposes-250m-customer-support-records-on-leaky-servers/

from:https://www.techtalkthai.com/microsoft-misconfig-azure-rule-lead-to-leaky-customer-support-database-servers/

เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank

MalwareHunter ได้เปิดเผยมุขใหม่ของคนร้ายที่ทำ Phishing หวังเล่นงานเหยื่อที่ใช้บริการของ Citibank ดังนั้นเป็นหน้าที่ของเราที่ต้องติดตามพฤติกรรมเช่นนี้ให้ไม่ตกเป็นเหยื่อครับ

credit : BleepingComputer

แม้ว่าจะไม่ทราบวิธีการนำเสนอหน้า Phishing สู่เหยื่อว่าอาจเป็นทางอีเมล SMS หรือช่องทางอื่นๆ แต่จากการวิเคราะห์หน้าเพจ Phishing ที่ชื่อ update-citi .com (รูปประกอบด้านบน) พบขั้นตอนดังนี้

  • คนร้ายได้ใช้ TLS Certificate ทำให้ขึ้นรูปกูญแจเสมือนว่าเป็นเว็บจริง ซึ่งอันที่จริงแล้วมีค่าแค่ว่าเว็บนี้เข้ารหัสเท่านั้น แต่ถ้าผู้ใช้งานสังเกตสามารถกดเข้าไปดูรายละเอียดของ Certificate ได้
  • คนร้ายมีหน้าร้องขอข้อมูลหลายแบบโดยขอข้อมูล เช่น ชื่อ-นามสกุล วันเกิด ที่อยู่ เลข 4 หลักของเลขประกันสังคมและข้อมูลบัตรทางการเงิน
  • ข้อมูลที่ได้มาจะถูกส่งไปหาเซิร์ฟเวอร์ของคนร้ายและทำทีเหมือนกำลัง Submit 
  • คนร้ายใช้ข้อมูลจริงที่ได้ไปล็อกอินเว็บจริงของธนาคาร ซึ่งหากมีการป้องกันแบบ 2-factors ผู้ใช้งานจะได้รับ OTP จริงจากธนาคาร
  • เพจปลอมร้องขอ OTP เพื่อไปใช้เข้ายึดบัญชีหรือทำกิจกรรมอันตรายได้อย่างสมบูรณ์
  • Redirect เหยื่อไปยังหน้าจริงของธนาคารและทิ้งไว้กลางทางอย่างงงๆ
credit : BleepingComputer

จะเห็นได้ว่าคนร้ายได้ใช้ทั้ง Certificate และร้องขอ OTP จากเซิร์ฟเวอร์จริงด้วยซ้ำ หากใครไม่ระวังก็จะถูกแฮ็กบัญชีได้ อย่างไรก็ตามผู้ใช้งานยังสามารถป้องกันตัวเองได้จากการเข้าลิงก์ที่มาจากธนาคารโดยตรงครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/this-citibank-phishing-scam-could-trick-many-people/

from:https://www.techtalkthai.com/citibank-web-phishing-that-ask-for-real-otp/

นักวิจัยตั้ง Honeypot จำลองระบบในอุตสาหกรรมเพื่อศึกษาการโจมตีจริง

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Trend Micro ได้ตั้ง Honeypot ปลอมเป็นองค์กรภาคอุตสาหกรรมที่ใช้ระบบ เช่น ICS, PLC และอื่นๆ โดยผลลัพธ์ชี้ว่าผู้ดูแลระบบมีความเสี่ยงจากคนร้ายทั่วไปที่หวังผลทางการเงินมากกว่ากลุ่มแฮ็กเกอร์ระดับชาติ

credit : Trend Micro

Honeypot ถูกจำลองให้เสมือนจริงมากที่สุดซึ่งภายในประกอบด้วยฮาร์ดแวร์ ICS เช่น Siemens, Allen-Bradley และ Omron รวมถึง VM ที่รัน HML เพื่อควบคุมโรงงานและเครื่อง Workstation ที่ควบคุม Palletizer และใช้ในการโปรแกรม PLC นอกจากนี้ยังมี Physical Host File Server และ VM อื่นๆ โดยนักวิจัยได้สร้างบริษัทปลอมขึ้นมาที่อ้างตัวเป็นโรงงานขนาดเล็กเพื่อให้บริการงานพิเศษบางอย่างแก่ลูกค้าเฉพาะ นอกจากนี้ยังสร้างหน้าเว็บขึ้นมาและใส่เบอร์โทรศัพท์เอาไว้แต่ตอบรับด้วยบันทึกเสียงแทน

สำหรับการล่อหลอกนักวิจัยตั้งใจเปิดบางพอร์ตเอาไว้ เช่น VNC ที่ไม่มีรหัสผ่าน, PLC และ Ethernet/IP โดยทำการบล็อกเครื่องมือค้นหาทั่วไปอย่าง Shodan, ZoomEye และ Shadowserver เพื่อคัดกรองการสแกนธรรมดาออกไป อย่างไรก็ตามหลังการศึกษาระบบจำลองถึง 7 เดือน นักวิจัยสรุปว่ากลุ่มแฮ็กเกอร์ที่เข้ามาโจมตีหวังผลทางการเงิน เช่น แรนซัมแวร์ Cryptojacking และการใช้ระบบในการปลอมแปลงกิจกรรมบางอย่าง ทั้งนี้กิจกรรมของแฮ็กเกอร์ที่น่าสนใจคือความพยายามใช้คำสั่งแปลกๆ หรือการสั่งปิดเปิดระบบ หรือ Service เพื่อดูผลลัพธ์ด้วยความใคร่รู้ของแฮ็กเกอร์นั่นเอง

อย่างไรก็ตามจากผลลัพธ์ที่เกิดขึ้นนักวิจัยสรุปว่าระบบอุตสาหกรรมก็ต้องกังวลเกี่ยวกับแฮ็กเกอร์ที่หวังผลทางการเงิน แทนที่จะมองภาพแค่แฮ็กเกอร์ระดับรัฐสนับสนุน (State-sponsor) นอกจากนี้ยังหมายถึงว่ายังไงระบบ ICS หรือการใช้งานในอุตสาหกรรมของคุณก็มีความเสี่ยงเสมอ ดังนั้นดูแลทุกส่วนให้ดีครับ ผู้สนใจเพิ่มเติมสามารถติดตามได้จาก PDF ของ Trend Micro

ที่มา :  https://www.securityweek.com/realistic-factory-honeypot-shows-threats-faced-industrial-organizations และ  https://www.helpnetsecurity.com/2020/01/21/ot-honeypot/

from:https://www.techtalkthai.com/trend-micro-honeypot-for-evaluate-risk-of-industrial-system/

Mitsubishi Electric แถลงเหตุการณ์ถูกแฮ็ก

Mitsubishi Electric บริษัทใหญ่ด้านอิเล็กทรอนิกส์และยังเป็นคู่ค้าใหญ่ให้รัฐบาลญี่ปุ่นหลายโครงการได้ออกมาแถลงถึงเหตุการณ์ถูกแฮ็ก ซึ่งข้อมูลนี้ถูกรายงานโดยหนังสือพิมพ์ท้องถิ่นอย่าง Asahi Shimbun และ Nikkei

Credit: ShutterStock.com

จากรายงานพบว่าเหตุการณ์เกิดขึ้นตั้งแต่ปลายเดือนมิถุนายนปีก่อนและเริ่มมีการสืบสวนในเดือนกันยายน เนื่องจากพนักงานพบไฟล์ต้องสงสัยในเซิร์ฟเวอร์ของบริษัท หลังจากนั้นจึงพบว่าบัญชีของพนักงานรายหนึ่งถูกแทรกแซง นอกจากนี้สื่อยังระบุว่าแฮ็กเกอร์ได้เข้าถึงระบบภายในของบริษัทและเข้าสู่แผนกต่างๆ ในบริษัทได้ เช่น ฝ่ายขาย และอื่นๆ รวมถึงสามารถขโมยข้อมูลเอกสารทางธุรกิจไปได้กว่า 200 MB โดยบริษัทได้ชี้ไปยังกลุ่มแฮ็กเกอร์ชาวจีนที่ชื่อ Tick หรือ Bronze Butler (กลุ่มคนร้ายที่มุ่งโจมตีอุตสาหกรรมของญี่ปุ่นมาหลายครั้งแล้ว)

อย่างไรก็ตามไม่มีการปฏิเสธเหตุการณ์ถูกแฮ็กจาก Mitsubishi Electric นอกจากโต้แย้งว่าแฮ็กเกอร์ไม่ได้ขโมยข้อมูลคู่ค้าและสัญญาสำคัญออกไป โดยขณะนี้บริษัทยังทำการสืบสวนต่อไปแต่แฮ็กเกอร์มีการลบ Access Log ออกไปแล้วทำให้การสืบสวนเป็นไปได้ช้าลง ผู้สนใจสามารถอ่านแถลงจากบริษัทได้ในภาษาญี่ปุ่น

ที่มา :  https://www.zdnet.com/article/mitsubishi-electric-discloses-security-breach-china-is-main-suspect/

from:https://www.techtalkthai.com/mitsubishi-electric-hacked-by-chinese-hacker/

แฮ็กเกอร์แจกลิสต์ Credentials ของเซิร์ฟเวอร์ เราเตอร์ และ IoT กว่า 500,000 รายการพร้อมเลขไอพี

แฮ็กเกอร์มือดีรายหนึ่งได้ออกมาเปิดเผยลิสต์ Credentials ของบริการ Telnet กว่า 500,000 รายการที่กระทบอุปกรณ์อย่างเซิร์ฟเวอร์ เราเตอร์ และ IoT

Credit: ShutterStock.com

ลิสต์นี้ถูกเผยไว้ในเว็บไซต์ของกลุ่มแฮ็กเกอร์ โดยภายในประกอบด้วย IP Address รวมถึง Username และ Password ของบริการ Telnet ซึ่งจากการสืบทราบของทีมข่าวพบว่ามือดีก็คือแฮ็กเกอร์ที่ดูแลบริการ DDoS-for-hire (DDoS Booter หรือบริการรับรับจ้างยิง DDoS) ที่เผยว่าตนได้อัปเกรตบริการในมือเรียบร้อยแล้ว นอกจากนี้แฮ็กเกอร์ยังเผยถึงที่มาว่าเขาได้สแกนอุปกรณ์ในอินเทอร์เน็ตที่เผยพอร์ต Telnet แล้วก็ลองใช้ Default Credentials ของอุปกรณ์หรือลองเดารหัสผ่านง่ายๆ เป็นต้น

วันที่บนไฟล์ที่แฮ็กเกอร์ได้นำเสนอคือช่วงเวลาระหว่างตุลาคมและพฤศจิกายน 2019 โดยคาดว่าอุปกรณ์บางส่วนอาจจะเปลี่ยนไอพีและ Credentials ไปแล้ว อย่างไรก็ตามความอันตรายไม่ได้ลดน้อยถอยลงไปเพราะนี่จะเป็นประโยชน์มหาศาลของแฮ็กเกอร์ที่ใช้สิ่งเหล่านี้เป็น เพียงแค่ใช้เครื่องมือสแกนหาอุปกรณ์ในอินเทอร์เน็ตประกอบกับข้อมูลเหล่านี้ และถึงแม้ว่าอุปกรณ์ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ตแต่เราจะรู้ได้อย่างไรว่าอุปกรณ์ในเครือข่ายของเราได้รับการคอนฟิคที่ดีพอโดยไม่ได้รับผลกระทบจากข้อมูลที่ถูกเปิดเผยครั้งนี้ ดังนั้นลองสำรวจตัวเองกันนะครับว่าเปลี่ยนรหัสผ่านจากโรงงานหรือยังและมีความแข็งแรงแค่ไหน

ที่มา :  https://www.zdnet.com/article/hacker-leaks-passwords-for-more-than-500000-servers-routers-and-iot-devices/

from:https://www.techtalkthai.com/hacker-discloses-huge-credentials-list-of-telnet-services/

ผู้เชี่ยวชาญเผยข้อมูลทางการแพทย์จำนวนมหาศาลกำลังรั่วไหลบนอินเทอร์เน็ต

Dirk Schrader จาก Greenbone Networks บริษัทผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกมาเปิดเผยเรื่องราวของข้อมูลทางการแพทย์หลายร้อยโรงพยาบาล ซึ่งสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต เช่น ข้อมูลฟิล์มเอกซเรย์ ผลอัลตร้าซาวน์ และ CT Scan

ประเด็นของความกังวลนี้ถูกติดตามและแจ้งเตือมมาหลายครั้งแล้ว เช่น ในเดือนกันยายนทาง Greenbone ได้ค้นพบข้อมูลรูปภาพทางการแพทย์ของผู้ป่วยกว่า 24 ล้านคน และ 2 เดือนถัดมาก็พบข้อมูลเพิ่มขึ้นอีกเป็น 35 ล้านรายกับผลการสแกนกว่า 1.19 ล้านครั้ง

ต้องเท้าความว่าปัจจุบันอุตสาหกรรมทางการแพทย์ยังพึ่งพาระบบ Format ที่ชื่อ DICOM ซึ่งออกแบบมาให้ผู้ปฏิบัติงานการแพทย์สามารถเก็บภาพทางการแพทย์ในไฟล์เดียวและแชร์ข้อมูลหากันได้ง่ายด้วยการเก็บข้อมูลไว้บนเซิร์ฟเวอร์ PACS โดยไฟล์ภาพในรูปแบบของ DICOM สามารถเปิดดูได้ด้วยแอปฟรีตามที่นักรังสีวิทยาต้องการ ปัญหาคือหน่วยงานทางการแพทย์ดันไม่ปฏิบัติตนตามข้อปฏิบัติและเชื่อมต่อเซิร์ฟเวอร์เหล่านั้นโดยไม่ใช้รหัสผ่านด้วยซ้ำ

ปัญหาคือข้อมูลที่หลุดไปไม่ใช่แค่ไฟล์ภาพเท่านั้นแต่ภายในยังประกอบด้วยข้อมูลส่วนบุคคลด้วย เช่น ชื่อผู้ป่วย วันเกิด ข้อมูลผลวินิจฉัย และในบางกรณีมีเลขประกันสังคมด้วย อย่างไรก็ดีปัญหาการรั่วไหลของข้อมูลอาจจนำไปสู่กรณีการแอบอ้างเอาประกันหรือการขโมยตัวตนได้ นอกจากนี้ในเชิงของความรู้สึกยังทำให้คนไข้ขยาดที่จะแชร์ข้อมูลกับแพทย์ด้วย

จากเหตุการณ์ดังกล่าว Greenbone ได้พยายามแจ้งเตือนแก่โรงพยาบาลหลายร้อยแห่ง ซึ่งบางแห่งก็ยินยอมแก้ไขแต่ประเด็นอยู่ที่โรงพยาบาลขนาดใหญ่ที่มีสัดส่วนข้อมูลปริมาณมากหลายแห่งมากกว่า ที่ยังเพิกเฉยหรือยังไม่กระตือรือร้นที่จะแก้ไขใดๆ โดยถึงแม้ว่าโรงพยาบาลในข่าวครั้งนี้จะอยู่ในสหรัฐฯแต่ก็หวังว่าจะเป็นตัวอย่างที่ดีเพื่อกระตุ้นให้โรงพยาบาลหรือหน่วยงานทางการแพทย์แห่งอื่นๆ ตระหนักถึงเรื่องนี้กันครับ

ที่มา :  https://techcrunch.com/2020/01/10/medical-images-exposed-pacs/

from:https://www.techtalkthai.com/huge-of-medical-images-are-leaking-online/

Cisco ออกแพตช์อุดช่องโหว่ร้ายแรงบน Webex และ IOS XE

Cisco ประกาศออกแพตช์อุดช่องโหว่ความรุนแรงระดับ High 2 รายการบนแพลตฟอร์ม Collaboration ยอดนิยมอย่าง Webex และผลิตภัณฑ์ที่ใช้ระบบปฏิบัติการ IOS และ IOS XE ซึ่งอาจช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลได้ ดังนี้

Credit: Visual Generation/ShutterStock

CVE-2019-16005 – ช่องโหว่ Command Injection บน Web-based Management Interface ของ Cisco Webex Video Mesh ซึ่งมีสาเหตุมาจากการตรวจสอบ Input จากผู้ใช้ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถล็อกอินด้วยสิทธิ์ Admin และสั่งรันโค้ดแปลกปลอมบนระบบจากระยะไกลได้ ช่องโหว่นี้ส่งผลกระทบบน Cisco Webex Video Mesh เวอร์ชันก่อนหน้า 2019.09.19.1956m

รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

CVE-2019-16009 – ช่องโหว่ Cross-site Request Forgery (CSRF) บน Web UI ของซอฟต์แวร์ IOS และ IOS XE ซึ่งช่วยให้แฮ็กเกอร์ลอบโจมตีจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนผ่านทางการส่ง Malicious Link ไปให้เหยื่อเพื่อดำเนินการแทน ถ้าเหยื่อมีสิทธิ์สูงอาจช่วยให้แฮ็กเกอร์ลอบเปลี่ยนการตั้งค่า รันคำสั่ง หรือรีสตาร์ทอุปกรณ์ได้ ช่องโหว่นี้ส่งผลกระทบบน IOS และ IOS XE เวอร์ชันก่อนหน้า 16.1.1 และเปิดใช้ฟีเจอร์ HTTP Server

รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf

แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

from:https://www.techtalkthai.com/cisco-patches-two-high-severity-flaws-in-webex-and-ios-xe-software/