โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service

ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่

นักวิจัยพบช่องโหว่ CVE-2021-44228 ร้ายแรงสูงในแพ็กเกจ Log4j ตั้งแต่สัปดาห์ที่ผ่านมา แม้ทางโครงการจะแพตช์ได้อย่างรวดเร็ว แต่ก็พบช่องโหว่ระดับปานกลาง CVE-2021-45046 แต่หลังจากศึกษาเพิ่มเติมก็เป็นไปได้ว่าช่องโหว่ CVE-2021-45046 นี้อาจจะกลายเป็นช่องโหว่ร้ายแรงสูง แม้จะเบากว่าช่องโหว่แรกก็ตาม

CVE-2021-45046 เกิดจากการปิด message lookup (พยายามแทนค่าใน log ด้วยข้อมูลภายนอก) ไม่ครบถ้วน โดยออปเจกต์ ThreadContext ยังคง lookup อยู่ แม้จะเปิดตัวเลือก formatMsgNoLookups สั่งไม่ให้ lookup ไปแล้วก็ตาม การใช้งานรูปแบบนี้เป็นรูปแบบที่ไม่ได้ใช้งานทั่วไป และ Log4j เองก็ปิดการดาวน์โหลดโค้ดจากภายนอกไว้แล้ว ทำให้ช่วงแรกนักวิจัยมองว่าช่องโหว่นี้มีความร้ายแรงต่ำ

เมื่อวันที่ 9 ธันวาคมที่ผ่านมา บริษัท Irisity ผู้ให้บริการด้านโปรแกรมวิเคราะห์วิดีโอด้วย AI สัญชาติสวีเดนระบุว่าได้นำส่งโปรแกรมวิเคราะห์วิดีโอให้กับรัฐบาลไทย เพื่อใช้ในการรักษาความมั่นคงของรัฐทั่วประเทศ

ดีลนี้มูลค่าเริ่มต้น 1 แสนดอลลาร์สหรัฐฯ หรือราว 3.34 ล้านบาท แต่ไม่ได้เปิดเผยข้อมูลอื่น โดย Irisity ระบุว่าข้อมูลเป็นความลับตามปกติของอุปกรณ์ด้านความมั่นคงและเป็นไปเพื่อการรักษาความสัมพันธ์กับลูกค้า

เมื่อวานนี้ ไมโครซอฟท์ออก Patch Tuesday รอบเดือนธันวาคม 2021 อุดช่องโหว่ของซอฟต์แวร์หลายตัว เช่น Microsoft Edge, VS Code, Office, PowerShell, Windows Server รวมช่องโหว่ทั้งหมด 67 ตัว

ช่องโหว่สำคัญในแพตช์รอบนี้มีทั้งหมด 6 ตัว และมีช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว 1 ตัว เกี่ยวกับตัวติดตั้งแพ็กเกจ Windows AppX ที่ใช้แพ็กเกจมาทะลุช่องโหว่นี้เพื่อติดตั้งมัลแวร์ลงในเครื่อง

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

มัลแวร์ Pegasus ของ NSO Group มีความซับซ้อนสูง และสามารถทะลุระบบป้องกันของบริษัทต่างๆ ได้อย่างมีประสิทธิภาพจนบริษัทไอทีจำนวนมากรวมถึงแอปเปิลฟ้อง วันนี้ทาง Project Zero ของกูเกิลก็ออกมาวิเคราะห์ความเก่งกาจของกระบวนการเจาะเข้าไปวางมัลแวร์ในโทรศัพท์

Project Zero พบว่ากระบวนการแฮกโทรศัพท์แบบไม่ต้องคลิกใดๆ (zero click) ของ NSO Group อาศัยการส่งไฟล์ภาพนามสกุลไฟล์เป็น GIF ที่ iMessage จะพยายามแสดงภาพทันที แต่เนื้อไฟล์ภายในที่จริงแล้วเป็น PDF ที่ตัว iMessage จะรู้เมื่ออ่านเนื้อไฟล์ และพยายามเรนเดอร์ภาพอยู่ดีด้วย CoreGraphics PDF

Microsoft ประกาศว่าตอนนี้ฟีเจอร์ end-to-end encryption (E2EE) ของระบบโทรศัพท์บน Microsoft Teams ได้เข้าสู่สถานะ generally available แล้ว พร้อมให้ผู้ใช้ทุกคนใช้งานอย่างเป็นทางการ

สำหรับฟีเจอร์ E2EE บน Microsoft Teams ทางผู้ดูแลระบบขององค์กรจะต้องเปิดฟีเจอร์ดังกล่าวก่อน ส่วนฝั่งผู้ใช้สามารถใช้งานได้ทั้ง Teams บน Windows และ Mac โดยการเปิด E2EE จะทำให้การคุยระหว่างสองคนปลอดภัยยิ่งขึ้น และทำให้การสอดแนมระบบโทรศัพท์ทำได้ยากกว่าเดิม

อย่างไรก็ดี Microsoft เตือนว่าฟีเจอร์สำคัญหลายอย่างอาจไม่สามารถใช้งานได้หากเปิดใช้โหมดต่อสายแบบ E2EE ไม่ว่าจะเป็นระบบบันทึก, โอนสายข้ามอุปกรณ์, ลากคนเข้ามาในสายเพื่อขยายเป็นโทรแบบกลุ่ม และ live caption ถ้าจะใช้ฟีเจอร์เหล่านี้จะต้องปิด E2EE ก่อน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน

โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป

Alejandro N. Mayorkas รัฐมนตรี DHS ให้สัมภาษณ์ว่ารัฐบาลสหรัฐต้องการยกระดับความปลอดภัยของระบบไอที ดังนั้น DHS จึงต้องทำตัวเป็นตัวอย่างก่อนใครเพื่อน โครงการ Hack DHS เกิดขึ้นมาเพื่อค้นหาจุดโหว่ของระบบของ DHS เอง และต้องการเป็นต้นแบบให้องค์กรภาครัฐอื่นๆ ทำตาม

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตามรายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

สถิติของ Check Point พบว่าระบบเครือข่ายขององค์กรทั่วโลก 43.9% ถูกลองโจมตีผ่านช่องโหว่นี้แล้ว ภูมิภาคที่โดนเยอะคือแอฟริกาและยุโรป ตัวเลขของบางประเทศขึ้นไปสูงถึง 62% ส่วนตัวเลขของประเทศไทยยังน้อยกว่าค่าเฉลี่ยคือ 38%

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

ช่องโหว่ CVE-2021-45046 ที่พบเพิ่มเติมมีความรุนแรงน้อยกว่าช่องโหว่เดิมมาก (CVSS 3.7 คะแนน ความร้ายแรงระดับปานกลาง) โดยกระทบกับระบบที่คอนฟิกบางรูปแบบที่ต่างไปจากค่าเริ่มต้น และผลกระทบจากการโจมตีจะทำให้ระบบแครช กลายเป็นการโจมตีแบบ denial of service (DOS) เท่านั้น แต่จุดสำคัญคือการ formatMsgNoLookups ในเวอร์ชั่นก่อนหน้านี้ไม่สามารถปิดช่องโหว่นี้ได้

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

ล่าสุด Elastic ผู้พัฒนาซอฟต์แวร์ Elastic Stack ที่นิยมใช้ในงานมอนิเตอร์ได้ออกประกาศรายละเอียดผลกระทบของผลิตภัณฑ์แล้ว พร้อมคำแนะนำในการบรรเทาช่องโหว่ระหว่างรอแพทซ์ โดยหลังจากตรวจสอบแล้วพบว่าผลิตภัณฑ์ที่ได้รับผลกระทบคือ Elasticsearch, Logstash และ APM Java Agent มีรายละเอียดดังนี้

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

• official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
• modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
• game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน

Mozilla เผยข้อมูลของ RLBox เทคนิคการทำ sandbox แบบใหม่ที่จะเริ่มใช้ใน Firefox 95 โดยเป็นความร่วมมือกับงานวิจัยของมหาวิทยาลัย UC San Diego และ University of Texas

เว็บเบราว์เซอร์ยุคปัจจุบันมีการทำ sandbox ห่อหุ้มเว็บไซต์ไว้ในโพรเซสของตัวเอง ป้องกันไม่ให้เว็บอันตรายสามารถเข้าถึงเว็บอื่นๆ หรือออกมาสร้างอันตรายนอกเบราว์เซอร์ได้

Mozilla บอกว่าเมื่อห่อหุ้มเว็บเพจได้แล้ว เป้าหมายต่อไปคือการแยกคอมโพเนนต์แต่ละส่วนของเบราว์เซอร์ ไม่ให้มายุ่งเกี่ยวกันได้ (เช่น แยกโพรเซสประมวลผลวิดีโอออกมา ไม่ต้องยุ่งกับเบราว์เซอร์หลัก) โดยเฉพาะไลบรารีภายนอกที่อาจมีช่องโหว่ แต่ Mozilla ไม่สามารถควบคุมคุณภาพของโค้ดได้เอง (ปํญหา supply-chain attack ที่เกิดขึ้นบ่อยในช่วงหลัง)

บริษัทวิจัยความปลอดภัยไซเบอร์ Red Canary ของสหรัฐฯ พบว่าโปรแกรมเปิดใช้ Windows เถื่อน หรือ Windows Activator ยอดนิยม KMSpico อาจแถมมัลแวร์ CryptBot ที่สามารถขโมยข้อมูลจากบราวเซอร์ รวมไปถึงรายละเอียดกระเป๋าเงินคริปโต บัตรเครดิต และเก็บภาพหน้าจอของระบบที่ติดเชื้อได้

Red Canary พบว่า CryptBot อาจแฝงตัวมากับลิงก์ดาวน์โหลด KMSpico ที่หาได้ตามออนไลน์ โดยอาจมีการติดตั้ง CryptBot หรือมัลแวร์อื่นพร้อมกับที่ผู้ใช้กดแอคติเวต KMSpico ทำให้ข้อมูลบราวเซอร์และกระเป๋าคริปโตของผู้ใช้เช่น Seed Phase ของ MetaMask ถูกขโมยได้

ข้อมูลลูกค้าที่เข้าร่วมโปรโมชั่นกับ LINE Pay ช่วงเดือนธันวาคม 2020 จนถึงเมษายน 2021 กว่า 133,484 แบ่งเป็นจากญี่ปุ่น 51,543 ราย และที่เหลือ 81,941 รายจากนอกญี่ปุ่น (ไต้หวันและไทย) ถูกอัพโหลดขึ้นเว็บไซต์ GitHub จากความผิดพลาดของพนักงานรีเสิร์ช และถูกเข้าถึงไป 11 ครั้ง ก่อนถูกลบ

LINE ออกแถลงการณ์ขออภัย รวมถึงระบุรายละเอียดของข้อมูลและช่วงเวลาที่หลุด ว่าประกอบด้วย วัน เวลา และยอดเงินที่ทำการใช้จ่าย รวมถึงรหัสผู้ใช้และร้านค้า แต่ไม่มีข้อมูลบัญชี เบอร์โทร ที่อยู่ บัตรเครดิต หรือเลขบัญชีธนาคาร รวมถึงแจ้งเวลาที่ลบและแจ้งผู้ใช้ตามขั้นตอน พร้อมระบุว่าจะกำชับและฝึกฝนพนักงานให้เข้มงวดมากขึ้นต่อไป

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่

ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้

Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์