Thailand People Cyber Army Cyber News

  Baron Samedit ผู้เชี่ยวชาญจาก Qualys ได้เปิดเผยช่องโหว่ที่สามารถใช้ยกระดับสิทธิ์ในโปรแกรม ‘SUDO’ จึงแนะนำให้ผู้ใช้งานเร่งอัปเดต SUDO เป็นเครื่องมือที่ช่วยจำกัดสิทธิ์ของผู้ใช้งานอยู่ในระดับปกติก่อน หากมีเรื่องจำเป็นค่อยขอสิทธิ์ระดับสูงเพิ่ม ทั้งนี้ SUDO ยังสามารถใช้เพื่อรันคำสั่งในบริบทของผู้ใช้งานอื่น ตามการคอนฟิคใน /etc/sudoers  ช่องโหว่ SUDO ใหม่นี้มีหมายเลขอ้างอิง   CVE-2021-3156  ซึ่งเป็นช่องโหว่ Heap Buffer Overflow ที่นำไปสู่การยกระดับสิทธิ์เป็น Root ได้ ทั้งนี้หากท่านใดสงสัยว่าตัวเองได้รับผลกระทบหรือไม่ สามารถล็อกอินด้วยสิทธิ์ทั่วไปและรันคำสั่ง ‘sudoedit -s /’ (ต้องเป็น Linux Distro ที่ใช้ SUDO ด้วย) หากมีช่องโหว่จะเกิด Error ขึ้น ปัจจุบันผู้เชี่ยวชาญพบว่ามี Linux OS อย่างน้อยที่ได้รับผลกระทบคือ Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31) และ Fedora 33 (Sudo 1.9.2) โดยอันที่จริงแล้ว CVE-2021-3156 น่าจะมีอายุกว่า 9 ปีจากการเพิ่มโปรเจ็คเข้ามาตั้งแต่ปี 2011 และคาดว่าเวอร์ชันของ SUDO ที่ได้รับผลกระทบคือ 1.9.0 – 1.9.5p1 และ 1.8.2 – 1.8...

  Apple ได้ออกแพตช์อุดช่องโหว่ด้านความมั่นคงปลอดภัย 3 รายการ ซึ่งถูกรายงานพบการใช้งานโจมตีจริงแล้ ช่องโหว่ 3 รายการคือ CVE-2021-1782  : ช่องโหว่ Race Condition ในระดับ Kernel ซึ่งส่งผลกระทบให้สามารถยกระดับสิทธิ์การโจมตีได้ CVE-2021-1870 และ CVE-2021-1871  : ช่องโหว่ระดับ Logic ใน WebKit ที่ช่วยให้คนร้ายจากทางไกลสามารถลอบรันโค้ดใน Safari ได้ ผู้เชี่ยวชาญเชื่อว่าช่องโหว่ทั้ง 3 ถูกใช้ร่วมกันเพื่อโจมตี โดยหลอกให้ผู้ใช้เข้าเว็บอันตรายและใช้ช่องโหว่เพื่อลอบรันโค้ดใน Safari จากนั้นเมื่อเข้ามาแล้วก็ยกระดับสิทธิ์ต่อ อย่างไรก็ดีผู้ใช้งานสามารถอัปเดตเพื่อป้องกันตัวเองได้ใน iOS 14.4  ที่มา :  https://www.zdnet.com/article/apple-fixes-another-three-ios-zero-days-exploited-in-the-wild/

  SonicWall ได้ประกาศแจ้งเตือนต่อลูกค้าว่าพบการโจมตีของคนร้าย ด้วยช่องโหว่ Zero-day ในผลิตภัณฑ์ VPN หลายท่านคงทราบกันดีแล้วว่า SonicWall เป็นผู้ให้บริการด้านโซลูชัน Security หลายตัวเช่น Firewall, VPN Gateway และ Network Security อื่นๆ อย่างไรก็ดีเมื่อวันศุกร์ที่ผ่านมาบริษัทได้ออกการแจ้งเตือนด่วนว่าพบการบุกรุกเครือข่ายของตนผ่านทางช่องโหว่ Zero-day ในโซลูชัน VPN ซึ่งล่าสุดมีการอัปเดตผลกระทบว่าเกี่ยวข้องกับผลิตภัณฑ์ดังนี้ NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ที่ใช้กับ Appliance SMA ซีรีย์ 100 และ Firewall SMA เวอร์ชัน 10.x ที่รันบน SMA Appliance 200, 210, 400 และ 410 และ Virtual Appliance 500v นอกนั้นตัว Firewall เองไม่ได้รับผลกระทบ อย่างไรก็ดี SMA ซีรีย์ 100 ยังอยู่ในระหว่างสืบสวน สำหรับระหว่างที่ยังไม่มีแพตช์ออกมาทาง SonicWall แนะนำให้ลูกค้าปฏิบัติตัวโดยการสร้าง Firewall Rule หรือ SMA อนุญาตแค่ SSL-VPN Connection จาก Whitelist IP เท่านั้น ล่าสุดยังไม่มีการอัปเดตจาก SonicWall มากนัก แต่มีคนร้ายแอบอ้างกระจายข่าวให้นักข่าวหลายสำนักว่าแฮ็กเข้าไปได้ถึงไหน หรือปล่อยแรนซัมแวร์ พร้...

  QNAP ได้ออกเตือนให้ลูกค้าระมัดระวังการใช้อุปกรณ์ NAS เนื่องจากพบมัลแวร์ลอบขุดเหมืองตัวใหม่ที่เพ่งเล็ง QNAP NAS โดยเฉพาะ Dovecat เป็นมัลแวร์ลอบขุดเหมืองบิตคอยน์ ที่พุ่งเป้าไปที่อุปกรณ์ QNAP โดยหากผู้ใช้งานพบเห็นโปรเซสที่ชื่อ dovecat และ dedpma รันอยู่แสดงว่าโดนของเข้าให้แล้ว ทั้งนี้มีผู้ใช้งานรายงานว่ามัลแวร์จะลอบใช้ CPU จนเกือบหมดเพื่อขุดเงินบิตคอยน์ dovecat เป็นชื่อที่ถูกตั้งมาให้คล้ายกับ Email Daemon ‘Dovecot’ ที่มากับ QNAP Firmware และ Linux Distro อื่นๆ สำหรับการป้องกันทีมงาน QNAP ได้ออกข้อปฏิบัติไว้ดังนี้ อัปเดตซอฟต์แวร์ QTS ล่าสุด ติดตั้ง Malware Remover, Firewall และ Security Counselor ที่รัน Security Policy เปิด Network Access Policy ป้องกันการ Brute-force Attack ตั้งรหัสผ่านแอดมินอย่างแข็งแรง ใช้รหัสผ่านยากๆสำหรับฐานข้อมูลแอดมิน ปิด SSH และ Telnet หากไม่ใช้ ปิดบริการและแอปที่ไม่จำเป็น หลีกเลี่ยงการใช้พอร์ต Default 80, 443, 8080 และ 8081 ที่มา :  https://www.zdnet.com/article/qnap-warns-users-of-a-new-crypto-miner-named-dovecat-infecting-their-devices/  และ...

  Natalie Silvanovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ที่ช่วยให้ผู้โทรสามารถได้รับแพ็กเกจของฝั่งผู้รับได้ก่อนรับสาย โดยมีหลายแอปพลิเคชันที่ได้รับผลกระทบนี้ประกอบด้วย Facebook Messenger, Google Duo, Signal, JioChat และ Mocha Silvanovich ได้ค้นพบบั๊กในลอจิกของแอปพลิเคชันเหล่านั้น โดยเขาเล่าว่า “ ผมได้ไล่ดู State Machine ของแอปพลิเคชันประชุมทางไกล 7 ตัวพบว่ามี 5 ตัวมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย ” ซึ่งบั๊กในแอปพลิเคชันต่างๆ มีดังนี้ Signal  – มีการส่งเสียงกลับมาได้ ได้รับการแพตช์แล้วตั้งแต่กันยายน 2019 Google Duo  – เปิดเผยแพ็กเก็ตวีดีโอ แพตช์เมื่อธันวาคมที่ผ่านมา Facebook Messenger  – มีการเชื่อมต่อเสียงก่อนกดรับ แพตช์แก้ไขแล้วในเดือนพฤศจิกายน JioChat  – มีการเปิดเผยเสียงก่อนเช่นกัน แต่มีแพตช์แก้ไขแล้ว Mocha  – มีการเปิดเผยทั้งเสียงและวีดีโอ โดยมีแพตช์แก้ไขแล้ว อย่างไรก็ดีผู้เชี่ยวชาญไม่พบปัญหาในแอปอื่นอย่าง Viber และ Telegram แต่ตัวเขาเองยังไม่ได้ทดสอบกับฟีเจอร์ Group Calli...

  ผู้เชี่ยวชาญด้านไซเบอร์ได้เปิดเผยบั๊กใหม่บน Windows 10 ซึ่งเพียงแค่รัน Path ที่มีปัญหาใน Address Bar ของ Chrome ก็สามารถทำให้เครื่องเกิดจอฟ้าได้ ปกติแล้วนักพัฒนาสามารถคุยกับอุปกรณ์ Windows ได้โดยตรงผ่าน namespace path ของ Win32 เป็น Argument ไปยังฟังก์ชันของ Windows Programming แต่ประเด็นคือนักวิจัยที่ชื่อ Jonas Lykkegarrd ได้เผยว่าเขาพบ namespace path ซึ่งใช้สำหรับ ‘kernel/usermode ipc’ ที่จะทำให้ Windows เกิดทำงานผิดพลาดได้ โดยสามารถเรียกรัน Path นี้ได้ในหลายวิธี หนึ่งในนั้นก็คือการใส่ Path เจ้าปัญหาหรือ ‘\.\globalroot\device\condrv\kernelconnect’ ใน Chrome Address Bar สาเหตุที่เกิดบั๊กเพราะระบบคาดหวัง Attribute บางอย่างจากการเรียกเข้ามา ประกอบกับไม่มีการตรวจจับจัดการกับข้อผิดพลาด ดังนั้นหากผู้ใช้ไม่ได้ใส่ค่าที่ระบบต้องการก็จะนำไปสู่การเกิดจอฟ้าได้ นอกจากนี้ผู้ใช้งานสิทธิ์ระดับต่ำก็สามารถใช้บั๊กนี้ได้ โดยทาง BleepingComputer ได้ทดสอบแล้วพบว่าเกิดขึ้นตั้งแต่ Windows 10 เวอร์ชัน 1709 ขึ้นมาและกำลังแจ้งต่อ Microsoft แล้ว นอกจากนี้ยังเชื่อว่ายังมีวิธีอื่นในการใช้บั๊กนี้เช่นทำให้เกิ...

  OpenWRT โปรเจ็คโอเพ่นซอร์สของ Linux Embedded OS สำหรับพวกเร้าเตอร์บ้าน ได้ประกาศเหตุถูกคนร้ายเข้าถึงบัญชีแอดมินในบริการ Forum ของตน ตอนนี้ทีมงานยังงงอยู่ว่าคนร้ายเข้ามาได้อย่างไร โดยใจความตอนหนึ่งในจดหมายแจ้งเหตุชี้ว่า “บัญชีมีรหัสผ่านที่ดี เพียงแค่ไม่ได้เปิดใช้ 2FA” ทั้งนี้แฮ็กเกอร์ไม่ได้ทำสำเนาฐานข้อมูลออกไป แต่สามารถขโมยลิสต์ของผู้ใช้ Forum ออกไปได้ ประกอบด้วยชื่อ username และ Email ด้วยเหตุนี้เองทีมงานจึงได้ตัดสินใจรีเซ็ตรหัสผ่านและ Token ของผู้ใช้ Forum  นอกจากนี้เองทีมงานยังได้เตือนให้ระมัดระวังการ Phishing คือไม่ควรคลิกลิงก์ในอีเมลใดที่อ้างว่ามาจากโดเมน แต่ให้เข้าเว็บตรงๆไปที่  forum.openwrt.org  อย่างไรก็ดียังไม่มีหลักฐานบ่งชี้ว่าแฮ็กเกอร์สามารถเข้าถึงหน้า OpenWRT wiki หรือหน้าลิงก์สำหรับดาวน์โหลดและให้ข้อมูลของ Firmware สำหรับเราเตอร์ ที่มา :  https://www.zdnet.com/article/openwrt-reports-data-breach-after-hacker-gained-access-to-forum-admin-account/

  ไม่รู้ว่าจะทันเวลาหรือไม่แต่อย่างน้อยสำหรับผู้ที่โดนโจมตีด้วยแรนซัมแวร์ตระกูล Darkside วันนี้ทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยถอดรหัสออกมาให้แล้ว แรนซัมแวร์ตระกูล Darkside เริ่มปฏิบัติการตั้งแต่เมื่อกลางปีก่อน โดยคนร้ายเบื้องหลังนั้นยังทำธุรกิจประเภท Ransomware-as-a-Service (RaaS) ซึ่งพฤติกรรมคือพยายามเข้าไปโจมตีระบบองค์กร และลอบขโมยข้อมูลมาขู่เหยื่อให้ยอมจ่ายเงิน มิเช่นนั้นจะเปิดเผยข้อมูลต่อสาธารณะ  ล่าสุดทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยเหลือไว้ที่  https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/  โดยรองรับมัลแวร์ Darkside ในทุกเวอร์ชัน อย่างไรก็ดีถึงแม้ว่ามัลแวร์จะออกปฏิบัติการมาระยะใหญ่แล้วแต่ประโยชน์ของเครื่องมือแก้ไขก็ยังมีดังนี้ หากบริษัทไหนยังเก็บไฟล์ที่ถูกเข้ารหัสไว้ก็กู้คืนได้ คนร้ายต้องมาอัปเดตวิธีการเข้ารหัสใหม่ ลดทอนชื่อเสียงของบริการ RaaS ซึ่งมีตัวอย่างว่ากลุ่มคนร้ายแรนซัมแวร์หลายตัวต้องยุติปฏิบัติการเมื่อมีเครื่องมือที่แก้ไขได้ออกมา ที่มา :  https://www.bleepingcomputer.com/news/security/darkside-ransomw...

เหตุการณ์โจมตีทางไซเบอร์สืบเนื่องจากที่ SolarWinds ได้ออกมาประกาศถูกแทรกแซงเมื่อกลางเดือนก่อนยังคงไม่จบลงง่ายๆ เพราะวันนี้กระทรวงยุติธรรมสหรัฐฯได้ประกาศเหตุที่อีเมลของพนักงานกว่า 3,000 รายถูกเข้าถึงได้   ย้อนรอยสั้นๆหลายคนคงทราบแล้วว่าซอฟต์แวร์ Orion ของ SolarWinds บางเวอร์ชันถูกแทรกแซงได้ ซึ่งเมื่อสืบสวนต่อไปพบว่ามีลูกค้ากว่า 18,000 รายได้รับผลกระทบ แต่ประเด็นคือหน่วยงานรัฐบาลสหรัฐฯหลายแห่งก็เป็นหนึ่งในกลุ่มผู้ใช้งานด้วย รวมถึงกระทรวงยุติธรรม (Department of Justice) ที่ล่าสุดออกมาเปิดเผยว่าคนร้ายได้ยกระดับคืบคลานเข้าสู่ระบบอีเมลของตน และมีผู้ใช้งานอีเมลราว 3% (คิดเป็นผู้ใช้งานราว 3,000 – 3,450 คน) ได้รับผลกระทบแต่ยังไม่ถึงขนาดว่าเป็นบัญชีสำคัญ ปัจจุบันหน่วยงานความมั่นคงอย่าง FBI, CISA, ODNI และ NSA ได้ชี้ว่านี่คือภัยคุกคามแบบ Advanced Persistent Threat (APT) พร้อมกับผายมือไปยังปฏิบัติการเข้าถึงข้อมูลของกลุ่มแฮ็กเกอร์ระดับรัฐสนับสนุนจากรัสเซีย ที่มา :  https://www.zdnet.com/article/solarwinds-fallout-doj-says-hackers-accessed-its-microsoft-o365-email-server/  และ  ht...