คลังเก็บป้ายกำกับ: THREATS_UPDATE

ไม่ใช่แค่หลักหมื่น!! Facebook เผลอเก็บรหัสผ่านผู้ใช้ Intagram หลายล้านคนแบบ Plaintext

ปลายเดือนมีนาคมที่ผ่านมา Facebook ได้ออกมาเปิดเผยว่า หลังจากทำ Security Review พบว่ามีรหัสผ่านของผู้ใช้หลายร้อยล้านคนถูกเก็บแบบ Plaintext ซึ่งรวมไปถึงผู้ใช้ Instagram ราวหลักหมื่นคน แม้ทาง Facebook จะดำเนินการแก้ไขแล้ว แต่เหตุการณ์กลับเลวร้ายไปกว่านั้น เมื่อล่าสุดค้นพบว่าผุ้ใช้ Instagram ที่ได้รับผลกระทบจริงมีจำนวนมากถึงหลักล้านคน

Facebook ได้ออกแถลงการณ์ล่าสุดระบุว่า รหัสผ่านแบบ Plaintext ของผู้ใช้ Instagram ที่เพิ่งค้นพบนี้ มาจาก Log ที่ถูกจัดเก็บในรูปที่บุคคลทั่วไปสามารถอ่านรู้เรื่อง ซึ่งคาดว่ามีราวหลายล้านรายการ อย่างไรก็ตาม Facebook ยังคงยืนยันเช่นเดียวกับแถลงการณ์ก่อนหน้านี้ว่า มีเฉพาะพนักงานภายในบางส่วนเท่านั้นที่สามารถเข้าถึงรหัสผ่านของทั้ง Facebook และ Instagram ที่มีปัญหาได้ และไม่มีการนำรหัสผ่านเหล่านี้ไปใช้ในทางที่มิชอบใดๆ รวมไปถึงการเข้าถึงโดยไม่สมควร

เพื่อความมั่นคงปลอดภัย แนะนำให้ผู้ใช้ Facebook และ Instagram ทุกคนเปลี่ยนรหัสผ่านใหม่ ถึงแม้ว่าจะไม่ได้รับอีเมลแจ้งเตือนจากทาง Facebook หรือ Instagram ก็ตาม

ที่มา: https://thehackernews.com/2019/04/instagram-password-plaintext.html

from:https://www.techtalkthai.com/facebook-stored-millions-of-instagram-users-passwords-in-plaintext/

โฆษณา

อดีตนักศึกษาใช้ USB Killer บึ้มคอมพิวเตอร์เกือบ 70 เครื่อง

Vishwanath Akuthota อดีตนักศึกษาชาวอินเดียวัย 27 ปีถูกตัดสินให้รับโทษจำคุกนานสูงสุด 10 ปีและปรับเป็นเงินสูงสุดเกือบ 8,000,000 บาทหลังก่อเหตุใช้ USB Killer ที่สั่งซื้ออนไลน์ทำลายคอมพิวเตอร์ของ College of St. Rose ในเมืองนิวยอร์กรวมแล้วเกือบ 70 เครื่อง

เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 14 กุมภาพันธ์ที่ผ่านมา โดย Akuthota ได้แอบเข้าไปในมหาวิทยาลัยที่ตนเองจบการศึกษาตอนกลางดึกแล้วใช้ USB Killer ที่สั่งซื้อออนไลน์ทำลายคอมพิวเตอร์ 59 เครื่อง จอมิเตอร์และคอมพิวเตอร์โพเดียมอีก 7 เครื่อง พร้อมถ่ายวิดีโอตนเองขณะดำเนินการดังกล่าวด้วย จากการตรวจสอบวิดีโอพบว่า Akuthota มีความตั้งใจทำลายอุปกรณ์ดังกล่าวจริง โดยมีการพูดว่า “I’m going to kill this guy”, “it’s dead” และ “it’s gone. Boom”

USB Killer เป็นเครื่องมือหน้าตาเหมือน USB ที่ถูกออกแบบมาเพื่อทำลายวงจรคอมพิวเตอร์โดยเฉพาะ เมื่อเสียบเข้าช่อง USB ของคอมพิวเตอร์ เครื่องมือดังกล่าวจะใช้ไฟจาก USB Power Supply ทำการอัดประจุอย่างรวดเร็วลงบนตัวเก็บประจุ จากนั้นทำการคายประจุไฟฟ้าคืนไปยังช่องเสียบ USB ภายในเวลาไม่กี่วินาที ส่งผลให้วงจรคอมพิวเตอร์ไหม้หรือเกิดความเสียหายได้

Akuthota ยินยอมชดใช้ค่าเสียหายเป็นเงินราว 1,800,000 บาทจากความเสียหายที่เกิดขึ้นบนคอมพิวเตอร์ทั้งหมดที่มีมูลค่ารวม $51,109 (ประมาณ 1,600,000 บาท) และค่าใช้จ่ายในการสืบสวน $7,362 (ประมาณ 250,000 บาท)

Akuthota จบการศึกษาจาก MBA ที่ College of St. Rose ในปี 2017 ซึ่งขณะที่เขาก่อเหตุนั้น เขาสิ้นสุดการเป็นนักศึกษาเรียบร้อย แต่ยังอาศัยอยู่ในสหรัฐฯ โดยใช้วีซ่าสำหรับนักศึกษา เขาถูกจับตัวได้เพียงแค่ 1 สัปดาห์หลังก่อเหตุ

ที่มา: https://www.zdnet.com/article/former-student-destroys-59-university-computers-using-usb-killer-device/

from:https://www.techtalkthai.com/former-student-used-usb-killer-to-destroy-70-computers/

Drupal ออกอัปเดต Core CMS อุดช่องโหว่หลายรายการตั้งแต่เวอร์ชัน 7, 8.5 และ 8.6

Drupal ระบบ Content Management System แบบ Open Source ยอดนิยม ประกาศออกแพตช์ด้านความมั่นคงปลอดภัยเพื่ออุดช่องโหว่ความรุนแรงระดับ “Moderately Critical” หลายรายการบน Drupal Core ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถแฮ็กเว็บไซต์ที่ใช้ Drupal ได้ แนะนำให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็ว

Credit: Drupal

ทีมนักพัฒนาของ Drupal ได้ออก Security Advisories ระบุว่า ช่องโหว่ทั้งหมดที่ Drupal ได้ทำการแพตช์ในเดือนนี้เป็นช่องโหว่บน Libraries ของ 3rd Party ที่ใช้บน Drupal 8.6, Drupal 8.5 และก่อนหน้านั้น รวมไปถึง Drupal 7 หนึ่งในนั้นคือช่องโหว่ Cross-site Scripting (XSS) บน 3rd Party Plugin ที่ชื่อว่า JQuery ซึ่งเป็น JavaScript Library ที่ได้รับความนิยมสูงสุดและถูกนำไปใช้บนเว็บไซต์หลายล้านเว็บ

ช่องโหว่นี้ส่งผลกระทบบน JQuery ทุกเวอร์ชัน จนเมื่อสัปดาห์ที่ผ่านมา JQuery ได้ออกแพตช์เวอร์ชัน 3.4.0 เพื่ออุดช่องโหว่ดังกล่าวเป็นที่เรียบร้อย Drupal จึงได้ออกแพตช์ล่าสุดสำหรับอุดช่องโหว่ตาม อีก 3 ช่องโหว่ที่เหลือเป็นช่องโหว่บน Symfony PHP Components ที่ Drupal Core ใช้งาน ประกอบด้วยช่องโหว่ XSS (CVE-2019-10909), Remote Code Execution (CVE-2019-10910) และ Authentication Bypass (CVE-2019-1091)

Drupal แนะนำให้ผู้ดูแลระบบอัปเดต CMS เป็นเวอร์ชัน 8.6.15, 8.5.15 หรือ 7.66 โดยเร็ว

ที่มา: https://thehackernews.com/2019/04/drupal-security-update.html

from:https://www.techtalkthai.com/drupal-patches-vulnerabilities-in-core-cms/

Cisco Talos รายงานเตือน DNS Hijacking ผ่านปฏิบัติการ ‘Sea Turtle’

Cisco Talos ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ออกรายงานเตือนเหตุการณ์ DNS Hijacking ครั้งใหญ่ที่เกิดขึ้นในแถบตะวันออกกลางและแอฟริกาเหนือที่กำลังดำเนินอยู่ โดยปฏิบัติการครั้งนี้ถูกขนานนามว่า ‘Sea Turtle’ ที่คาดว่าจะได้รับการสนับสนุนจากรัฐเพื่อมุ่งเน้นการขโมย Credentials อีกทั้งตรวจจับได้ยากผ่านเทคนิคซับซ้อน

credit : blog.talosintelligence.com

แนวคิดก็คือหากผู้โจมตีสามารถเข้าควบคุม DNS ของเหยื่อได้ (อาจจะมี Credential ของผู้ดูแล) ก็จะสามารถเปลี่ยนแปลงหรือปลอมแปลงข้อมูลใน DNS Name Record เพื่อทำให้ผู้ใช้งาน Redirect ไปหาเซิร์ฟเวอร์ปลายทางของคนร้ายได้แทนเซิร์ฟเวอร์จริงที่ตั้งใจ อย่างไรก็ตามเบื้องต้นมีการใช้ช่องโหว่หลายรายการเพื่อเจาะเข้าสู่องค์กรดังนี้

  • CVE-2009-1151 : PHP code injection เกิดขึ้นกับ phpMyAdmin
  • CVE-2014-6247 : Remote Code Execution ที่ส่งผลกระทบกับ GNU Bash โดยเฉพาะ SMTP (ส่วนหนึ่งของช่องโหว่ Shellshock อันโด่งดัง)
  • CVE-2017-3881 : Remote Code Execution บน Cisco Switch
  • CVE-2017-6736 : Remote Code Execution บน Cisco ISR 2811
  • CVE-2017-12617 : Remote Code Execution บน Apache Web Server ที่รัน Tomcat
  • CVE-2018-0296 : ช่องโหว่ Directory Traversal ที่อนุญาตการเข้าถึงที่ยังไม่พิสูจน์ตัวตนซึ่งเกิดบน Cisco ASA 
  • CVE-2018-7600 : ช่องโหว่ Drupalgeddon บน Drupal

อย่างไรก็ตามทาง Talos คาดว่าน่าจะยังมีช่องโหว่อื่นๆ อีกหลายรายการ แม้กระทั่งการทำ Spear Phishing ที่ถูกใช้ในปฏิบัติการครั้งนี้ซึ่งมีการกระทำเกิดขึ้นมากมายตามด้านล่าง

  • ใช้ Name Server ที่ควบคุมได้เพื่อทำ DNS Hijacking
  • มุ่งเป้าไปที่ DNS Registry หลายแห่งและ Registra ที่ดูแลโดเมนระดับประเทศ (ccTLD)
  • ใช้ Certificate แบบ Self-signed และจาก Let’s Encrypts, Comodo, Sectigo กับเซิร์ฟเวอร์ Man-in-the-middle เพื่อเริ่มขั้นตอนการขโมย Credentials
  • ขโมย SSL Certificate ที่ถูกต้องขององค์กรเพื่อนำไปใช้กับเซิร์ฟเวอร์ที่คนร้ายควบคุมอยู่

ทำไมเหตุการณ์นี้จึงน่าสนใจและประสบความสำเร็จ?

Talos ได้ประมาณคาบเวลาว่าปฏิบัติการ Sea Turtle เกิดขึ้นตั้งแต่มกราคม 2017 และยังคงดำเนินต่อเนื่องเรื่อยมาจนถึงปีนี้ซึ่งแม้ว่าจะมีการแจ้งเตือนเกิดขึ้นมาบ้างแล้วแต่ดูเหมือนว่าคนร้ายไม่มีความยำเกรงเกิดขึ้นแม้แต่น้อยและยังมุ่งลงมือต่อไปซึ่งหากเป็นคนร้ายทั่วๆ ไปคงจะถอนตัวหรือชะลอปฏิบัติการณ์ลงบ้างนั่นจึงดูเหมือนว่าผู้หนุนหลังต้องหนาพอสมควร (State-sponsor)

อย่างไรก็ดีคนร้ายมีการใช้ยุทธวิธีอย่างเฉพาะเจาะจงเพื่อเข้าถึงเครือข่ายเป้าหมาย อีกทั้ง IDS/IPS ไม่ได้ถูกออกแบบมาให้ติดตามและเก็บ Log ของ DNS Request รวมถึง DNS Domain Space อาจไม่ได้ใส่ใจกับเรื่องความมั่นคงปลอดภัย เช่น การใช้ฟีเจอร์ registra Locks กับ ccTLDs เป็นต้น นอกจากนี้ยังมีการใช้เทคนิค Certificate Impersonate ซึ่งทาง Talos กล่าวว่า “เทคนิคนี้ประสบความสำเร็จได้เพราะ SSL Certificate ตอบสนองแค่เรื่อง Confidentiality ไม่ใช่ Integrity เมื่อคนร้ายได้ขโมย SSL Certificate ขององค์กรที่ถูกใช้ใน Security Appliance ไปก็สามารถนำไปสู่การได้รับ VPN Credentials และเข้าถึงเครือข่ายของเหยื่อได้ในที่สุดและสามารถฝังตัวได้อย่างยาวนาน”

Cisco Talos ได้แนะนำวิธีการป้องกันตัวไว้ดังนี้

  • ใช้ Registry Lock Service เพื่อให้ได้รับการติดต่อหากมีการเปลี่ยนแปลงใน DNS Record ขององค์กร
  • หาก Registra ของคุณไม่ได้ใช้ Registry Lock Service ควรใช้งาน multi-factor Authen เช่น DUO กับ DNS Record ขององค์กร
  • ถ้าคิดว่าถูกโจมตีแล้วควรไปรีเซ็ตรหัสผ่านแต่ต้องใช้เครื่องที่มั่นใจว่ามีความมั่นคงปลอดภัยและอยู่ในเครือข่ายที่เชื่อถือได้ด้วย
  • หมั่นแพตช์โดยเฉพาะเครื่องที่มีการออกสู่อินเทอร์เน็ต ผู้ดูแลระบบเครือข่ายควรติดตาม DNS Record ว่ามีความผิดปกติหรือไม่อย่างสม่ำเสมอด้วย

อย่างไรก็ตามผู้สนใจเชิงลึกสามารถอ่านบล็อกจาก Cisco Talos ได้ซึ่งยังกล่าวถึงกลุ่มเป้าหมายหลักและรอง, Indicator of Compromise ไปจนถึงวิธีการที่เป็นไปได้ที่จะเข้าควบคุม DNS เป็นต้น

ที่มา :  https://www.networkworld.com/article/3389747/cisco-talos-details-exceptionally-dangerous-dns-hijacking-attack.html

from:https://www.techtalkthai.com/cisco-talos-warns-dns-hijacking-operation-sea-turtle/

เตือน NamPoHyu Virus Ransomware ตัวใหม่ พุ่งเป้า Remote Samba Servers

พบ Ransomware ตระกูลใหม่ นามว่า “NamPoHyu Virus” หรือ “MegaLocker Virus” แทนที่จะเข้ารหัสข้อมูลบนเครื่องที่ติดมัลแวร์ กลับมุ่งเป้าค้นหา Samba Servers ใกล้เคียงแล้วทำการเข้ารหัสข้อมูลไฟล์ในเซิร์ฟเวอร์นั้นๆ จากระยะไกลแทน

Credit: Nicescene/ShutterStock

โดยทั่วไปแล้ว Ransomware จะแพร่กระจายตัวและถูกติดตั้งลงบนเครื่องคอมพิวเตอร์ที่จะเข้ารหัส ไม่ว่าจะผ่านทางมัลแวร์ตัวอื่น ไฟล์แนบอีเมล หรือแฮ็กเกอร์เจาะระบบคอมพิวเตอร์หรือเครือข่าย แต่ NamPoHyu Virus Ransomware นี้กลับทำงานต่างกันออกไป แทนที่จะเข้ารหัสบนเครื่องคอมพิวเตอร์ที่ถูกติดตั้ง กลับค้นหา Samba Server ใกล้เคียงที่เข้าถึงได้ จากนั้นทำการ Brute Force รหัสผ่านและเข้ารหัสผ่านไฟล์ข้อมูลข้างในจากระยะไกลแทน ที่น่าตกใจ คือ ข้อมูลจาก Shodan แสดงให้เห็นว่ามี Samba Server ที่สามารถเข้าถึงได้จากทั่วโลกมากถึง 500,000 เครื่อง

Ransomware นี้ถูกค้นพบครั้งแรกเมื่อเดือนมีนาคม 2019 ที่ผ่านมา หลังจากที่มีผู้ใช้หลายรายพบว่า NAS Storage ที่พวกเขาใช้อยู่ถูกเข้ารหัสข้อมูลโดย Ransomware ที่ชื่อว่า MegaLocker Virus โดย Ransomware ดังกล่าวจะต่อท้ายไฟล์ที่ถูกเข้ารหัสข้อมูลด้วย .crypted และสร้างไฟล์ข้อความเรียกค่าไถ่ชื่อว่า !DECRYPT_INSTRUCTION.TXT ผู้ใช้ต้องจ่ายค่าไถ่เป็นเงินราว $250 (8,000 บาท) สำหรับบุคคลทั่วไป หรือราว $1,000 (32,000 บาท) สำหรับองค์กรเพื่อปลดรหัส

อย่างไรก็ตาม เมื่อถึงต้นเดือนเมษายน 2019 MegaLoker Virus ได้เปลี่ยนชื่อตัวเองเป็น NamPoHyu Virus และต่อท้ายไฟล์ที่เข้ารหัสด้วย .NamPoHyu แทน ในขณะที่ข้อความและจำนวนเงินที่ใช้เรียกค่าไถ่ยังคงเดิม

ที่มา: https://www.bleepingcomputer.com/news/security/nampohyu-virus-ransomware-targets-remote-samba-servers/

from:https://www.techtalkthai.com/nampohyu-virus-ransomware-targets-remote-samba-servers/

Apache Tomcat ออกแพตช์อุดช่องโหว่ Remote Code Execution

Apache Software Foundation (ASF) ออกแพตช์อุดช่องโหว่ความรุนแรงระดับ Important บน Apache Tomcat ซึ่งช่วยให้แฮ็กเกอร์สามารถลอบรันโค้ดแปลกปลอมจากระยะไกลและเข้าควบคุมเซิร์ฟเวอร์เป้าหมายได้ แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว

ช่องโหว่ดังกล่าวเป็นช่องโหว่ Remote Code Execution (RCE) มีรหัส CVE-2019-0232 เป็นช่องโหว่ที่พบบน Common Gateway Interface (CGI) Servlet ที่รันอยู่บนระบบปฏิบัติการ Windows คู่กับการเปิดใช้งาน enableCmdLineArguments มีสาเหตุมาจากบั๊กในการคำสั่งจาก Java Runtime Environment (JRE) ไปยัง Windows ในกรณีที่โจมตีสำเร็จจะช่วยให้แฮ็กเกอร์สามารถลอบรันคำสั่งแปลกปลอมบนเซิร์ฟเวอร์ Windows เป้าหมายและเข้าควบคุมเครื่องนั้นๆ ได้

เนื่องจาก CGI Servlet และพารามิเตอร์ enableCmdLineArguments ถูกปิดใช้งานโดย Default บน Tomcat 9.0.x เลยทำให้ช่องโหว่ RCE นี้ถูกจัดอันดับเป็น Important แทนที่จะเป็น Critical สำหรับ Apache Tomcat เวอร์ชันที่ได้รับผลกระทบ ได้แก่

  • Apache Tomcat 9.0.0.M1 ถึง 9.0.17 แนะนำให้อัปเดตเป็นเวอร์ชัน 9.0.18 หรือหลังจากนั้น
  • Apache Tomcat 8.5.0 ถึง 8.5.39 แนะนำให้อัปเดตเป็นเวอร์ชัน 8.5.40 หรือหลังจากนั้น
  • Apache Tomcat 7.0.0 ถึง 7.0.93 แนะนำให้อัปเดตเป็นเวอร์ชัน 7.0.94 หรือหลังจากนั้น

ที่มา: https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

from:https://www.techtalkthai.com/apache-tomcat-patches-remote-code-execution-flaw/

[Guest Post] 70% ของมัลแวร์เรียกค่าไถ่ (Ransomware) มีเป้าหมายเป็นธุรกิจ SME

Beazley Breach Response (BBR) Services พบว่า 71% มัลแวร์เรียกค่าไถ่ (Reansomware) มีเป้าหมายเป็นธุรกิจขนาดกลางและขนาดเล็ก (SME) วัดจากเหตุการณ์ที่เกิดขึ้นในปี 2018

Credit: Zephyr_p/ShutterStock.com

จากข้อมูลของ Beazley ในปี 2019 จำนวนเงินค่าไถ่ที่สูงสุดในปัจจุบันคือ 3,000 Bitcoin หรือประมาณ 270 ล้านบาท ในขณะที่จำนวนเงินค่าไถ่สูงสุดที่เหยื่อยอมจ่ายอยู่ที่ประมาณ 30 ล้านบาท

สาเหตุที่องค์กรขนาดกลางและขนาดเล็กตกเป็นเป้าโจมตีของแฮกเกอร์ก็เพราะธุรกิจระดับนี้ส่วนมากมักไม่ลงทุนในการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์และข้อมูลเท่าไหร่นัก จึงทำให้ง่ายต่อการโจมตีระบบ อีกเหตุผลหนึ่งที่สำคัญก็คือ การไม่เปิดใช้งาน Remote Desktop Protocol (RDP) ที่ถือเป็นความเสี่ยงอันดับแรกๆ ที่จะโดนโจมตีโดยมัลแวร์เรียกค่าไถ่ (Ransomware)

เนื่องจากแฮกเกอร์สามารถสแกนค้นหาพอร์ต RDP ผ่านอินเตอร์เน็ตและเจาะระบบเอารหัสผ่าน เพื่อเข้าถึงระบบ และองค์กรมักไม่เปลี่ยนพอร์ตดังเดิมของ RDP ซึ่งทำให้ง่ายต่อการถูกโจมตี

ประเภทขององค์กรที่เผชิญกับมัลแวร์เรียกค่าไถ่

เกี่ยวกับ ESET

ESET เป็นผู้บุกเบิกการป้องกันไวรัส ด้วยเทคโนโลยี NOD32 ที่ได้รับการพัฒนามานานกว่า 30 ปี เป็นผู้นำในอุตสาหกรรมและบริการความปลอดภัย IT ทั้งแบบบุคคลและองค์กรทั่วโลก ด้วยโซลูชันที่ครอบคลุมการใช้งานที่หลากหลายและรองรับทุกแพลตฟอร์ม ผลิตภัณฑ์ของ ESET เป็นตัวแทนของประสิทธิภาพและการใช้งานที่ง่าย ทำให้ผู้ใช้และองค์กรสามารถใข้งานเทคโนโลยีได้อย่างเต็มประสิทธิภาพ ด้วยการป้องกันตลอด 24 ชั่วโมง และสำนักงานวิจัยและพัฒนาที่คอยตรวจสอบภัยคุกคามที่เกิดขึ้นใหม่ตลอดเวลา การันตีด้วยรางวัล VB100 จาก Virus Bulletin ต่อเนื่องมากกว่า 100 รางวัล

ESET ปกป้องผู้ใช้มากกว่า 110 ล้านเครื่อง ในพื้นที่มากกว่า 200 ประเทศ

ติดตาม ESET ได้ที่ ESET Thailand และข่าวสารความมั่นคงปลอดภัยที่ Blog ESET

from:https://www.techtalkthai.com/70-percent-of-ransomware-targets-sme/