Cisco เตือนภัยช่องโหว่ระดับวิกฤต (critical) ในระบบปฏิบัติการ IOS XE ที่ใช้กับอุปกรณ์เครือข่ายของตัวเอง เปิดทางให้แฮ็กเกอร์สามารถควบคุมเครื่องได้เต็มรูปแบบ (full control) และพบการโจมตีจริงแล้ว

IOS XE เป็นระบบปฏิบัติการย่อยตัวหนึ่งของ Cisco IOS (ระบบปฏิบัติการทั้งหมดของ Cisco) โดยเวอร์ชัน XE พัฒนาอยู่บนเคอร์เนลลินุกซ์ และใช้กับอุปกรณ์เครือข่ายตระกูล Catalyst, ASR, ISR บางรุ่นย่อย

ที่ผ่านมา การลงทุนด้านความปลอดภัยมักเป็นหนึ่งในประเด็นที่ผู้บริหารองค์กรจำนวนไม่น้อยไม่ค่อยให้ความสำคัญมากนัก แม้จะให้ความสำคัญด้านการลงทุนเทคโนโลยีและนวัตกรรมใหม่ๆ ก็ตาม ซึ่งก็อาจนำไปสู่การตัดสินใจไม่ลงทุนเลย โดยจากการสำรวจของ HPE Aruba Networking กับผู้บริหารองค์กรใหญ่ๆ พบว่า 64% ของผู้บริหาร มองว่าความตั้งใจที่จะลงทุนด้านเทคโนโลยี มักจะถูกขัดขวางด้านความกังวลด้านความปลอดภัย

อย่างไรก็ตาม Aruba ก็พบว่า 64% ของผู้บริหารเช่นกันมองว่า ระบบเน็ตเวิร์คองค์กรมีส่วนสำคัญในการป้องกันภัยคุกคามไซเบอร์ และมองการลงทุนด้านนี้เป็นส่วนหนึ่งของการ transformation และเลือกโซลูชันใหม่ๆ ที่ตอบโจทย์พร้อมกันอย่างระบบ Security Service Edge (SSE) หรือ Secure Access Service Edge (SASE) ของ Aruba

ผู้ให้บริการคลาวด์รายใหญ่นัดกันเปิดเผยข้อมูลช่องโหว่ DDoS ใน HTTP/2 CVE-2023-44487 เรียกชื่อว่า Rapid Reset อาศัยฟีเจอร์ stream ใน HTTP/2 ที่เปิดทางให้ไคลเอนต์สามารถขอเปิดสตรีมใหม่แล้วยกเลิกได้อย่างรวดเร็ว ทำให้ botnet ขนาดไม่ใหญ่มากก็สามารถสร้างรีเควสจำนวนมหาศาล

Docker ร่วมกับ BastionZero สร้างโครงการ OpenPubkey ที่เปิดโอกาสให้ผู้ใช้ที่ล็อกอินผ่านทาง OpenID Connect (OIDC) อยู่แล้ว สามารถสร้างกุญแจ public/private ของตัวเองเพื่อนำไปเซ็นเอกสารหรือไฟล์อื่นๆ ได้

โครงการ curl ไคลเอนต์ HTTP ยอดนิยมประกาศเตรียมปล่อยแพตช์แก้ไขช่องโหว่ร้ายแรงสูง โดยระบุวันปล่อยแพตช์ล่วงหน้าเป็นวันที่ 11 ตุลาคมนี้ พร้อมกับระบุว่าเป็นช่องโหว่ที่รุนแรงที่สุด "ในห้วงเวลาที่ยาวนาน" แพตช์นี้มีช่องโหว่สองรายการ คือ CVE-2023-38545 ที่ร้ายแรงสูง กระทบทั้งไลบรารีและคำสั่ง curl เองและ CVE-2023-38546 ความร้ายแรงต่ำ กระทบเฉพาะไลบรารี

Daniel Stenberg ผู้ดูแลโครงการ curl ระบุว่าไม่สามารถให้ข้อมูลใดๆ ได้ในตอนนี้ รวมถึงไม่สามารถบอกว่าได้ช่องโหว่นี้กระทบเวอร์ชั่นใดบ้าง แต่บอกเพียงว่าบั๊กนี้กระทบ curl ใน "ช่วงหลายปีที่ผ่านมา"

Progress ผู้พัฒนา WS_FTP แจ้งเตือนช่องโหว่ WS_FTP Server ว่ามีช่องโหว่ร้ายแรงสูงหลายรายการ และผู้ใช้ควรเร่งอัพเดตเป็นเวอร์ชั่น 8.7.4 และ 8.8.2 หรือปรับคอนฟิกเพื่อปิดโมดูลที่มีช่องโหว่

ช่องโหว่ร้ายแรงสองรายการ ได้แก่

กูเกิลอัพเดต Chrome เวอร์ชัน 117.0.5938.132 แก้ไขช่องโหว่ Zero-Day CVE-2023-5217 เกี่ยวกับ heap buffer overflow ของ libvpx ซึ่งกูเกิลใช้เวลา 2 วัน หลังจากมีการเปิดเผยช่องโหว่นี้ออกมา และเป็นการแก้ไขช่องโหว่ Zero-Day ครั้งที่ห้าของปีนี้ ผู้ใช้งานควรอัพเดตทันที

ทั้งนี้กูเกิลยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ดังกล่าว โดยจะเผยแพร่เมื่อมีผู้ใช้งานส่วนใหญ่ได้อัพเดต Chrome เป็นเวอร์ชันล่าสุดแล้ว

Chrome เวอร์ชันนี้ยังอัพเดตแก้ไขช่องโหว่อีกสองรายการคือ CVE-2023-5186 และ CVE-2023-5187 ด้วย

Mozilla ก็ออกอัพเดต Firefox เพื่อแก้ไขช่องโหว่นี้เช่นกันใน Firefox เวอร์ชัน 118.0.1 สำหรับเดสก์ท็อป รวมถึงในแพลตฟอร์มอื่นด้วย

Retool ผู้ให้บริการแพลตฟอร์ม low-code ชื่อดังรายงานถึงเหตุคนร้ายเข้าถึงระบบภายในได้บางส่วน จากการส่งอีเมล phishing หลอกพนักงาน และโทรศัพท์มาขอ OTP โดยปลอมเสียงเป็นพนักงานจนคนร้ายเข้าถึงบัญขี Google ของพนักงานได้

แต่จุดที่ Retool รายงานคือฟีเจอร์ซิงก์ OTP ของ Google Authenticator ที่เพิ่งเพิ่มฟีเจอร์ซิงก์ข้ามเครื่องเข้ามาในปีนี้ ซึ่ง Retool วิจารณ์ว่าฟีเจอร์แบบนี้ทำให้การล็อกอินแบบหลายปัจจัย กลายเป็นเหลือปัจจัยเดียวคือคนร้ายเข้าถึงบัญชีกูเกิลได้ ก็จะล็อกอินได้ทุกอย่าง

ช่วงสัปดาห์ที่ผ่านมา เครือคาสิโนใหญ่ในเมืองลาสเวกัสถึงสองเครือ คือ MGM Resorts และ Caesars ถูกแฮกในเวลาไล่เรี่ยกัน

เครือ MGM นั้นถูกแฮกโดยกลุ่ม ALPHV ทาง vx-underground บัญชีทวิตเตอร์ที่เปิดเผยข่าวแฮกเกอร์ใต้ดินต่อเนื่องระบุว่า ALPHV อาศัยการหลอก help desk เพื่อล็อกอินเข้าระบบ และหลังจากเข้าระบบได้แล้วก็วางตัวดักรหัสผ่านจาก Okta Agent และวางมัลแวร์กระจายไปยังเซิร์ฟเวอร์ ESXi กว่า 100 ตัว

ทาง ALPHV ระบุว่าพยายามติดต่อ MGM ให้มาเจรจาจ่ายค่าไถ่แต่ทาง MGM ก็ไม่ได้เข้ามาเจรจา

สัปดาห์ที่ผ่านมา Citizen Lab รายงานถึงช่องโหว่ที่ใช้เจาะ iPhone ผ่านทาง iMessage ได้โดยเหยื่อไม่ต้องคลิกใดๆ ตอนนี้แอปเปิลก็พบว่าช่องโหว่นี้ที่จริงแล้วเป็นช่องโหว่ heap overflow ของ libwebp ซึ่งกระทบเบราว์เซอร์อื่นๆ ด้วย ตอนนี้ทั้ง Chrome ก็ออกแพตช์แก้ไขช่องโหว่นี้แล้ว ในเวอร์ชั่น 116.0.5845.187 และ 116.0.5845.188

แพตช์เดียวกันถูกส่งเข้า Firefox แล้ว คาดว่าจะออกเป็นเวอร์ชั่น 117.0.1 ภายในเร็วๆ นี้

Cisco ประกาศเตือนภัยช่องโหว่ในซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) ที่เปิดให้โจมตีแบบ brute force รหัสผ่านต่อฮาร์ดแวร์ไพร์วอลล์ของ Cisco ที่ใช้ซอฟต์แวร์เหล่านี้ได้

การโจมตีจะเกิดขึ้นได้ต้องเข้าทั้ง 2 เงื่อนไขคือ มีผู้ใช้ในระบบอย่างน้อยหนึ่งรายตั้งรหัสผ่านเก็บในฐานข้อมูลโลคัล และเปิด SSL VPN ในช่องทางอินเทอร์เฟซของระบบ

นักวิจัยจากบริษัทความปลอดภัย Rapid7 รายงานว่าพบการโจมตีแบบ brute force ลักษณะนี้มาตั้งแต่เดือนมีนาคม มีองค์กรอย่างน้อย 11 แห่งโดนโจมตี รูปแบบการโจมตีมุ่งเป้าไปยังอุปกรณ์ที่ไม่ได้เปิด multi-factor authentication (MFA) เพราะ brute force สำเร็จแล้วเจาะเข้าได้เลย

Citizen Lab รายงานถึงช่องโหว่ CVE-2023-41064 และ CVE-2023-41061 เรียกชื่อรวมว่า BLASTPASS สามารถเจาะโทรศัพท์ iPhone ผ่านการยิงข้อความเข้าโทรศัพท์ทาง iMessage โดยที่เหยื่อไม่ต้องคลิกใดๆ ทาง Citizen Lab ระบุว่าช่องโหว่นี้ใช้ส่งมัลแวร์ของ NSO Group

ช่องทางเจาะระบบของ NSO Group ที่เคยพบมานั้นมีความซับซ้อนสูง และน่าจะต้องใช้ทรัพยากรพัฒนาอย่างมาก

ตอนนี้ยังไม่มีการเปิดเผยรายละเอียดช่องโหว่ ทาง Citizen Lab และแอปเปิลระบุว่าช่องโหว่ส่วนแรกเป็นช่องโหว่ของการประมวลภาพด้วย ImageIO หลังจากนั้นก็อาศัยช่องโหว่รันโค้ดใน Wallet

แอปเปิลออกแพตช์แก้ไขช่องโหว่ทั้งหมดแล้ว ใน iOS 16.6.1 และ iPadOS 16.6.1

เมื่อช่วงกลางปีที่ผ่านมาไมโครซอฟท์รายงานถึงเหตุข้อมูลรั่วไหลครั้งรุนแรงเพราะแฮกเกอร์แฮกกุญแจของ Azure AD ได้สำเร็จ ทำให้สามารถปลอมเป็นผู้ใช้คนใดก็ได้ใน Azure AD ทั้งหมดโดยไมโครซอฟท์ระบุว่ายังหาช่องทางที่กุญแจรั่วไหลไม่พบ แต่ล่าสุดก็ออกรายงานมาว่าพบช่องทางที่เป็นไปได้แล้ว

รายงานระบุว่าเซิร์ฟเวอร์ Azure AD เคยแครชไปครั้งหนึ่งเมื่อเดือนเมษายน 2021 ระบบดีบั๊กจึงส่งไฟล์ crash dump ไปยังระบบดีบั๊ก ซึ่งโดยทั่วไปแล้วไฟล์ dump ไม่ควรมีกุญแจติดไปด้วยแต่ก็มีความผิดพลาดจนกุญแจหลุดไปจนถึงระบบดีบั๊ก และวางอยู่เช่นนั้น

update: ทีมงาน PlayCyberGame ชี้แจงเพิ่มเติมว่าข้อมูลที่หลุดเป็นส่วนเว็บบอร์ด vBulletin ที่ปิดให้บริการไปแล้ว ไม่กระทบระบบหลักแต่อย่างใด

PlayCyberGame ระบบ vpn สำหรับเชื่อมต่อกับเพื่อนเพื่อเล่นเกมเป็นวง LAN เดียวกัน ทำข้อมูลลูกค้ากว่า 3.7 ล้านรายหลุดเมื่อเดือนสิงหาคมที่ผ่านมา

เว็บ Have I been pwned ระบุว่าข้อมูลที่หลุดมีทั้ง อีเมล ยูสเซอร์เนม รหัสผ่านที่แฮชด้วย MD5 และค่า salt แบบคงที่ โดยเป็นข้อมูลจากระบบ vBulletin ที่ตอนนี้ปิดบริการไปแล้ว

PlayCyberGame หรืออีกชื่อหนึ่งที่คุ้นๆ กันคือ ThaiCyberGame เคยเป็นที่รู้จักจากการให้บริการเครือข่ายเล่นเกมเสมือนเล่นผ่าน LAN กับเกม DOTA ภาคแรกบน Warcraft III

ที่มา - Have I been pwned

Damien Miller นักพัฒนาโครงการ OpenSSH ส่งโค้ดเพิ่มฟีเจอร์ ObscureKeystrokeTiming เพื่อล็อกห้วงเวลาส่งข้อมูลคีย์บอร์ด จากเดิมที่ส่งทันที ให้ส่งทุกห้วงเวลาที่กำหนด เช่น 20ms เท่านั้น นอกจากนี้ยังส่งข้อมูลคีย์ปลอมเพื่อสร้างความสับสนเพิ่มเติม

กูเกิลเพิ่มความปลอดภัยของ Gmail โดยให้ผู้ใช้งานต้องยืนยันตัวตน 2 ขั้นตอน ทุกครั้งที่มีการแก้ไขการตั้งค่า (Settings) ในส่วนที่กูเกิลมองว่าเป็นความเสี่ยงสูง ได้แก่

• Filters: สร้าง Filter, แก้ไข Filter หรือนำเข้า Filter
• Forwarding: สร้างที่อยู่ที่ส่งต่อเพิ่มเติมในส่วนการตั้งค่า Forwarding หรือ POP/IMAP
• IMAP access: เพิ่มการเข้าถึงของ IMAP (หากผู้ดูแลระบบ Workspace เปิดให้ผู้ใช้แก้ไขได้เอง)

มีรายงานช่องโหว่ระดับความร้ายแรงสูง CVE-2023-40477 ซึ่งผู้โจมตีสามารถฝังโค้ดผ่านไฟล์ RAR ที่หากเปิดด้วย WinRAR จะเข้าถึงหน่วยความจำของคอมพิวเตอร์ได้ อย่างไรก็ตามด้วยวิธีการที่ค่อนข้างเฉพาะจึงทำให้การโจมตีอาจทำได้ยาก

ทั้งนี้ RARLAB ผู้พัฒนา WinRAR ได้ออกอัพเดตซอฟต์แวร์เวอร์ชัน 6.23 ซึ่งระบุว่าแก้ไขช่องโหว่ดังกล่าวแล้ว ผู้ใช้งาน WinRAR จึงควรอัพเดตโปรแกรมทันทีเพื่อป้องกันปัญหาดังกล่าว

ไมโครซอฟท์เองก็เริ่มทดสอบการรองรับไฟล์ RAR รวมถึง 7-Zip และ GZ ใน Windows 11 จึงทำให้ความจำเป็นในการใช้โปรแกรม WinRAR โดยเฉพาะมีน้อยลงอีกด้วย

กูเกิลแสดงผลการทดลองใช้ปัญญาประดิษฐ์ในกลุ่ม Large Language Model (LLM) มาเขียนโค้ดยิงไลบรารีต่างๆ ภายใต้โครงการ OSS-Fuzz เพื่อหาช่องโหว่ซอฟต์แวร์

การทดสอบแบบ fuzzing ช่วยให้พบช่องโหว่แบบที่คนคิดไม่ถึงโดยเฉพาะช่องโหว่หน่วยความจำ ด้วยการอาศัยการยิงอินพุตแบบสุ่ม อย่างไรก็ดีโค้ดที่ใช้ทดสอบนั้นต้องเขียนด้วยมือทำให้ชุดทดสอบต่างๆ มักครอบคลุมโค้ดที่ต้องการทดสอบไม่มากนัก โดยเฉลี่ยครอบคลุมเพียง 30% เท่านั้น

ทีมงานกูเกิลเขียน prompt ให้ LLM ของกูเกิลเองเขียนโค้ดสำหรับทดสอบ หากโค้ดรันไม่ผ่านก็สามารถอ่าน error แล้วแก้ไขโค้ดใหม่ไปได้ ข้อดีสำคัญคือโค้ดที่ได้จะทดสอบส่วนต่างๆ ของโครงการโอเพนซอร์สได้เพิ่มเติม ทำให้ความครอบคลุมโดยรวมดีขึ้น

กูเกิลร่วมกับทีมวิจัยจาก ETH Zürich พัฒนาเฟิร์มแวร์กุญแจยืนยันตัวตน FIDO รุ่นพิเศษ ที่ใช้กระบวนการเข้ารหัสลับที่ทนทานต่อคอมพิวเตอร์ควอนตัม เป็นการเตรียมทางสู่การวางมาตรฐาน FIDO รุ่นต่อๆ ไปที่จะรองรับกระบวนการนี้ในอนาคต

เฟิร์มแวร์นี้มีลายเซ็นดิจิทัลยืนยันข้อมูลซ้อนกันสองชั้น คือ ECDSA แบบเดิมๆ และ Dilithium ที่ NIST เลือกเป็นมาตรฐานการเซ็นลายเซ็นดิจิทัลแบบทนทานคอมพิวเตอร์ควอนตัม ความยากในการอิมพลีเมนต์คือโค้ดทั้งหมดต้องรันด้วยแรมเพียง 20KB เท่านั้น และตัวกุญแจต้องตอบผลลัพธ์ต่างๆ ภายในเวลาที่กำหนดไว้ในมาตรฐาน

Chrome ประกาศมาตรการหลายอย่างเพื่อผลักดันการใช้ HTTPS แทน HTTP ให้เกิดขึ้นได้จริง หลังจากพบว่าทราฟฟิกเว็บ 5-10% ยังเป็น HTTP อยู่ตลอดมา ไม่ยอมอัพเกรดเป็น HTTPS สักที ซึ่งมีผลต่อความปลอดภัยของผู้ใช้

• การคลิกลิงก์เก่าที่เป็น http:// จะถูกอัพเกรดเป็น https:// โดยอัตโนมัติ หากเชื่อมต่อ https:// ไม่สำเร็จถึงค่อยกลับมาเป็น http:// แปลว่าผู้ใช้จะเข้าเว็บผ่าน HTTP ในกรณีที่ไม่มี HTTPS ให้ใช้งานเท่านั้น ไม่ได้เข้า HTTP โดยบังเอิญหรือไม่ตั้งใจ (แม้มี HTTPS ให้ใช้) อีกต่อไป
• การดาวน์โหลดไฟล์ผ่าน HTTP จะเห็นข้อความแจ้งเตือนว่าไฟล์อาจไม่ปลอดภัย การเตือนจะมีผลกับไฟล์ทุกประเภท ยกเว้นไฟล์ภาพ เสียง วิดีโอ ที่ค่อนข้างปลอดภัยในตัวเองอยู่แล้ว

กูเกิลประกาศเพิ่มฟีเจอร์ใน Android 14 เปิดให้ผู้ใช้บังคับว่าจะเชื่อมต่อกับเสาสัญญาณโทรศัพท์มือถือที่เข้ารหัสเท่านั้น หลังจากการโจมตีเสาสัญญาณโทรศัพท์ปลอม (False Base Station - FBS) ระบาดเป็นวงกว้างรวมถึงในประเทศไทย

ที่ผ่านมาการโจมตี FBS มักจะอาศัยเครือข่าย 2G แต่ที่จริงแล้วเครือข่ายรุ่นใหม่ๆ ก็สามารถเชื่อมต่อแบบไม่เข้ารหัสได้เช่นกันหากเครือข่ายคอนฟิกไว้ผิดพลาด ก่อนหน้านี้ Android มีตัวเลือกสำหรับปิดการเชื่อมต่อแบบ 2G ทั้งหมดเพื่อลดความเสี่ยง FBS

Daniel Moghimi นักวิจัยความปลอดภัยของกูเกิล ค้นพบช่องโหว่ในซีพียูอินเทลจำนวนมาก ตั้งแต่ Core 6th Gen (Skylake) มาถึง Core 11th Gen (Tiger Lake) รวมถึงซีพียูกลุ่มเซิร์ฟเวอร์ Xeon, ซีพียู Atom ที่ออกขายในช่วงเดียวกัน รายชื่อทั้งหมด

ไมโครซอฟท์ประกาศความร่วมมือกับซัมซุงประกาศรองรับ Samsung Knox ใน Microsoft Intune ทำให้องค์กรสามารถตรวจสอบความปลอดภัยของอุปกรณ์ที่จะเข้าถึงระบบต่างๆ ได้ที่ระดับฮาร์ดแวร์

ประกาศระบุว่าปกติการยืนยันความปลอดภัยอุปกรณ์อย่างโทรศัพท์มือถือต้อง enroll ทั้งเครื่องเข้าเป็นส่วนหนึ่งของเครื่องที่องค์กรจัดการอยู่ แต่เมื่อใช้งาน Samsung Knox องค์กรจะสามารถอนุญาตให้พนักงานใช้งานเครื่องส่วนตัวทำงานได้โดยไม่ต้อง enroll ทั้งเครื่อง แต่ยืนยันได้ว่าเครื่องปลอดภัยผ่านทาง Intune mobile application management (MAM)

โครงการภาษา Vyper ภาษาสำหรับพัฒนาแอปพลิเคชั่นบนบล็อคเชน มีช่องโหว่เวอร์ชั่น 0.2.15, 0.2.16, และ 0.3.0 แม้ว่าจะแก้ไขไปตั้งแต่ 2 ปีก่อนแต่โค้ด smart contract หลายตัวก็ยังใช้เวอร์ชั่นคอมไพลเลอร์เวอร์ชั่นเหล่านี้อยู่

ตอนนี้มีรายงานว่าบล็อคเชนต่างๆ ถูกโจมตีจากช่องโหว่นี้ เช่น AlchemixFi ถูกโจมตี 13 ล้านดอลลาร์, JPEG'd 11 ล้านดอลลาร์, MetronomeDAO 1.6 ล้านดอลลาร์, Ellipsis Finance 68,600 ดอลลาร์, และ Debridge Finance 24,600 ดอลลาร์

ทาง Curve Finance ระบุว่ามี pool ที่ได้รับผลกระทบ 3 pool เท่านั้น ได้แก่ alETH, msETH, และ pETH แต่ข่าวการแฮกครั้งนี้ก็ทำให้โทเค็น CRV ของ Curve Finance ราคาตกลงไป 15%

Threat Analysis Group (TAG) กลุ่มวิจัยความปลอดภัยไซเบอร์ของกูเกิล รายงานถึงการโจมตีระบบคอมพิวเตอร์ด้วยช่องโหว่ที่ยังไม่ได้แพตช์ หรือช่องโหว่ 0-day ในช่วงปีที่ผ่านมา พบการโจมตีจากช่องโหว่ 41 รายการตลอดปี 2022 ลดลง 40% จากปี 2021 แต่สภาพการณ์โดยรวมยังไม่ดีนัก เนื่องจากช่องโหว่บางตัวใช้เวลาแพตช์นาน รายงานระบุเหตุการณ์โดยรวมไว้ 4 ประเด็น ได้แก่