GitHub ออกเครื่องมือช่วยสแกนหาช่องโหว่ Log4j ในซอร์สโค้ด-โปรเจคต์

By mk Founder on Tag: GitHub, Log4j, Security
GitHub

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

Read more

Project Zero วิเคราะห์มัลแวร์ของ NSO Group พบสามารถสร้างระบบรันสคริปต์จากตัวบีบอัดภาพ

By lew Founder on Tag: Security, Project Zero, iOS
Security

มัลแวร์ Pegasus ของ NSO Group มีความซับซ้อนสูง และสามารถทะลุระบบป้องกันของบริษัทต่างๆ ได้อย่างมีประสิทธิภาพจนบริษัทไอทีจำนวนมากรวมถึงแอปเปิลฟ้อง วันนี้ทาง Project Zero ของกูเกิลก็ออกมาวิเคราะห์ความเก่งกาจของกระบวนการเจาะเข้าไปวางมัลแวร์ในโทรศัพท์

Read more

Microsoft Teams เปิดฟีเจอร์ end-to-end encryption ให้ใช้งานแล้ว

By nutmos Writer on Tag: Microsoft Teams, Security, Privacy, Encryption, Microsoft
Microsoft Teams

Microsoft ประกาศว่าตอนนี้ฟีเจอร์ end-to-end encryption (E2EE) ของระบบโทรศัพท์บน Microsoft Teams ได้เข้าสู่สถานะ generally available แล้ว พร้อมให้ผู้ใช้ทุกคนใช้งานอย่างเป็นทางการ

สำหรับฟีเจอร์ E2EE บน Microsoft Teams ทางผู้ดูแลระบบขององค์กรจะต้องเปิดฟีเจอร์ดังกล่าวก่อน ส่วนฝั่งผู้ใช้สามารถใช้งานได้ทั้ง Teams บน Windows และ Mac โดยการเปิด E2EE จะทำให้การคุยระหว่างสองคนปลอดภัยยิ่งขึ้น และทำให้การสอดแนมระบบโทรศัพท์ทำได้ยากกว่าเดิม

Read more

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐ เปิดโครงการ Hack DHS ชวนแฮ็กเกอร์หาช่องโหว่ รับเงินรางวัล

By mk Founder on Tag: DHS, USA, Bug Bounty, Security
DHS

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน

โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป

Read more

CISA ออกคำสั่ง หน่วยงานภาครัฐของสหรัฐต้องอุดแพตช์ Log4j ภายใน 24 ธันวาคม

By mk Founder on Tag: CISA, Log4j, Security, US-CERT
CISA

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

Read more

Check Point รายงาน การโจมตีผ่าน Log4j สูงถึง 8 แสนครั้งใน 72 ชม. แรก, องค์กร 44% โดนโจมตี

By mk Founder on Tag: Check Point, Log4j, Security
Check Point

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

Read more

แพตช์เดียวไม่พอ Log4j ออกเวอร์ชั่น 2.16.0 หลังพบแพตช์เดิมปิดช่องโหว่ไม่หมด

By lew Founder on Tag: Log4j, Security
Log4j

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

Read more

CISA หน่วยความปลอดภัยไซเบอร์สหรัฐเตือนภัย ช่องโหว่ Log4j รุนแรงมาก ควรอุดแพตช์ทันที

By mk Founder on Tag: CISA, Cybersecurity, Log4j, Security
CISA

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

Read more

Cloudflare พบคนร้ายเริ่มโจมตี log4j ตั้งแต่วันที่ 1 ธันวาคม, AWS ออกแพตช์แบบไม่ต้องรีสตาร์ต, ซอฟต์แวร์สแกนในองค์กรออกแล้ว

By lew Founder on Tag: Log4j, Security
Log4j

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

Read more

Elastic รายงานช่องโหว่ log4j กระทบ Elasticsearch, Logstash พร้อมคำแนะนำบรรเทาช่องโหว่ระหว่างรอแพทซ์

By nutmos Writer on Tag: Elastic, Elasticsearch, Log4j, Security
Elastic

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

Read more

Minecraft ออกอัพเดตไคลเอนต์-เซิร์ฟเวอร์ Java Edition อุดช่องโหว่จาก log4j แล้ว

By mk Founder on Tag: Minecraft, Java, Security, Log4j
Minecraft

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

  • official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
  • modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
  • game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา
Read more

ช่องโหว่ log4j กระทบถึงแอปเดสก์ทอป, ผู้ให้บริการ WAF อัพเดตไฟร์วอลล์แล้ว, ทีมวิจัยออกวัคซีนแก้ช่องโหว่ให้

By lew Founder on Tag: Log4j, Security, Apache, Java
Log4j

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

Read more

แจ้งเตือน ไลบรารี log4j มีช่องโหว่รันโค้ด หาก log ข้อมูลจากผู้ใช้โดยตรง ควรปิดช่องโหว่ทันที

By lew Founder on Tag: Log4j, Java, Apache, Security
Log4j

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

Read more

แจ้งเตือน รายงานช่องโหว่ Grafana ออกสู่สาธารณะ แฮกเกอร์อ่านไฟล์ในเครื่องได้

By lew Founder on Tag: Grafana, Security
Grafana

ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน

Read more

Firefox 95 ใช้เทคนิค Sandbox ใหม่ RLBox แยกส่วนไลบรารีภายนอก ให้ปลอดภัยกว่าเดิม

By mk Founder on Tag: Firefox, Mozilla, Security, WebAssembly, Browser
Firefox

Mozilla เผยข้อมูลของ RLBox เทคนิคการทำ sandbox แบบใหม่ที่จะเริ่มใช้ใน Firefox 95 โดยเป็นความร่วมมือกับงานวิจัยของมหาวิทยาลัย UC San Diego และ University of Texas

เว็บเบราว์เซอร์ยุคปัจจุบันมีการทำ sandbox ห่อหุ้มเว็บไซต์ไว้ในโพรเซสของตัวเอง ป้องกันไม่ให้เว็บอันตรายสามารถเข้าถึงเว็บอื่นๆ หรือออกมาสร้างอันตรายนอกเบราว์เซอร์ได้

Read more

ระวัง โปรแกรมเปิดใช้วินโดวส์เถื่อน KMSPico อาจแถมมัลแวร์ขโมยกระเป๋าคริปโต

By mheevariety Contributor Writer on Tag: Cryptocurrency, Security, Malware
Cryptocurrency

บริษัทวิจัยความปลอดภัยไซเบอร์ Red Canary ของสหรัฐฯ พบว่าโปรแกรมเปิดใช้ Windows เถื่อน หรือ Windows Activator ยอดนิยม KMSpico อาจแถมมัลแวร์ CryptBot ที่สามารถขโมยข้อมูลจากบราวเซอร์ รวมไปถึงรายละเอียดกระเป๋าเงินคริปโต บัตรเครดิต และเก็บภาพหน้าจอของระบบที่ติดเชื้อได้

Red Canary พบว่า CryptBot อาจแฝงตัวมากับลิงก์ดาวน์โหลด KMSpico ที่หาได้ตามออนไลน์ โดยอาจมีการติดตั้ง CryptBot หรือมัลแวร์อื่นพร้อมกับที่ผู้ใช้กดแอคติเวต KMSpico ทำให้ข้อมูลบราวเซอร์และกระเป๋าคริปโตของผู้ใช้เช่น Seed Phase ของ MetaMask ถูกขโมยได้

Read more

ข้อมูลลูกค้า LINE Pay 133,484 รายจากทั้งญี่ปุ่น ไต้หวัน และไทย หลุดลง GitHub

By mheevariety Contributor Writer on Tag: LINE, LINE Pay, Security
LINE

ข้อมูลลูกค้าที่เข้าร่วมโปรโมชั่นกับ LINE Pay ช่วงเดือนธันวาคม 2020 จนถึงเมษายน 2021 กว่า 133,484 แบ่งเป็นจากญี่ปุ่น 51,543 ราย และที่เหลือ 81,941 รายจากนอกญี่ปุ่น (ไต้หวันและไทย) ถูกอัพโหลดขึ้นเว็บไซต์ GitHub จากความผิดพลาดของพนักงานรีเสิร์ช และถูกเข้าถึงไป 11 ครั้ง ก่อนถูกลบ

Read more

Facebook ขยายโครงการ Protect ให้คนดัง-นักการเมือง ล็อกอิน 2FA ป้องกันโดนแฮ็กบัญชี

By mk Founder on Tag: Facebook, Authentication, Security
Facebook

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Read more

Amazon CodeGuru เพิ่มฟีเจอร์ Secrets Detector สแกนรหัสผ่านและคีย์ที่เผลอฝังไว้ในโค้ด

By mk Founder on Tag: AWS, Amazon, Development, Security
AWS

Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่

ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้

Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น

Read more

BadgerDAO ถูกแฮก คนฝากเงินโดดดูดออกจาก DeFi เกือบ 4,000 ล้านบาท

By lew Founder on Tag: Cryptocurrency, Security
Cryptocurrency

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์

Read more
Subscribe to Security