Tags:
Node Thumbnail

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

สถิติของ Check Point พบว่าระบบเครือข่ายขององค์กรทั่วโลก 43.9% ถูกลองโจมตีผ่านช่องโหว่นี้แล้ว ภูมิภาคที่โดนเยอะคือแอฟริกาและยุโรป ตัวเลขของบางประเทศขึ้นไปสูงถึง 62% ส่วนตัวเลขของประเทศไทยยังน้อยกว่าค่าเฉลี่ยคือ 38%

Tags:
Topics: 
Node Thumbnail

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

ช่องโหว่ CVE-2021-45046 ที่พบเพิ่มเติมมีความรุนแรงน้อยกว่าช่องโหว่เดิมมาก (CVSS 3.7 คะแนน ความร้ายแรงระดับปานกลาง) โดยกระทบกับระบบที่คอนฟิกบางรูปแบบที่ต่างไปจากค่าเริ่มต้น และผลกระทบจากการโจมตีจะทำให้ระบบแครช กลายเป็นการโจมตีแบบ denial of service (DOS) เท่านั้น แต่จุดสำคัญคือการ formatMsgNoLookups ในเวอร์ชั่นก่อนหน้านี้ไม่สามารถปิดช่องโหว่นี้ได้

Tags:
Node Thumbnail

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด

Tags:
Topics: 
Node Thumbnail

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

Tags:
Node Thumbnail

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

ล่าสุด Elastic ผู้พัฒนาซอฟต์แวร์ Elastic Stack ที่นิยมใช้ในงานมอนิเตอร์ได้ออกประกาศรายละเอียดผลกระทบของผลิตภัณฑ์แล้ว พร้อมคำแนะนำในการบรรเทาช่องโหว่ระหว่างรอแพทซ์ โดยหลังจากตรวจสอบแล้วพบว่าผลิตภัณฑ์ที่ได้รับผลกระทบคือ Elasticsearch, Logstash และ APM Java Agent มีรายละเอียดดังนี้

Tags:
Node Thumbnail

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

  • official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
  • modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
  • game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา
Tags:
Node Thumbnail

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

Tags:
Node Thumbnail

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts

Tags:
Node Thumbnail

ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน

ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน

Tags:
Node Thumbnail

Mozilla เผยข้อมูลของ RLBox เทคนิคการทำ sandbox แบบใหม่ที่จะเริ่มใช้ใน Firefox 95 โดยเป็นความร่วมมือกับงานวิจัยของมหาวิทยาลัย UC San Diego และ University of Texas

เว็บเบราว์เซอร์ยุคปัจจุบันมีการทำ sandbox ห่อหุ้มเว็บไซต์ไว้ในโพรเซสของตัวเอง ป้องกันไม่ให้เว็บอันตรายสามารถเข้าถึงเว็บอื่นๆ หรือออกมาสร้างอันตรายนอกเบราว์เซอร์ได้

Mozilla บอกว่าเมื่อห่อหุ้มเว็บเพจได้แล้ว เป้าหมายต่อไปคือการแยกคอมโพเนนต์แต่ละส่วนของเบราว์เซอร์ ไม่ให้มายุ่งเกี่ยวกันได้ (เช่น แยกโพรเซสประมวลผลวิดีโอออกมา ไม่ต้องยุ่งกับเบราว์เซอร์หลัก) โดยเฉพาะไลบรารีภายนอกที่อาจมีช่องโหว่ แต่ Mozilla ไม่สามารถควบคุมคุณภาพของโค้ดได้เอง (ปํญหา supply-chain attack ที่เกิดขึ้นบ่อยในช่วงหลัง)

Tags:
Node Thumbnail

บริษัทวิจัยความปลอดภัยไซเบอร์ Red Canary ของสหรัฐฯ พบว่าโปรแกรมเปิดใช้ Windows เถื่อน หรือ Windows Activator ยอดนิยม KMSpico อาจแถมมัลแวร์ CryptBot ที่สามารถขโมยข้อมูลจากบราวเซอร์ รวมไปถึงรายละเอียดกระเป๋าเงินคริปโต บัตรเครดิต และเก็บภาพหน้าจอของระบบที่ติดเชื้อได้

Red Canary พบว่า CryptBot อาจแฝงตัวมากับลิงก์ดาวน์โหลด KMSpico ที่หาได้ตามออนไลน์ โดยอาจมีการติดตั้ง CryptBot หรือมัลแวร์อื่นพร้อมกับที่ผู้ใช้กดแอคติเวต KMSpico ทำให้ข้อมูลบราวเซอร์และกระเป๋าคริปโตของผู้ใช้เช่น Seed Phase ของ MetaMask ถูกขโมยได้

Tags:
Node Thumbnail

ข้อมูลลูกค้าที่เข้าร่วมโปรโมชั่นกับ LINE Pay ช่วงเดือนธันวาคม 2020 จนถึงเมษายน 2021 กว่า 133,484 แบ่งเป็นจากญี่ปุ่น 51,543 ราย และที่เหลือ 81,941 รายจากนอกญี่ปุ่น (ไต้หวันและไทย) ถูกอัพโหลดขึ้นเว็บไซต์ GitHub จากความผิดพลาดของพนักงานรีเสิร์ช และถูกเข้าถึงไป 11 ครั้ง ก่อนถูกลบ

LINE ออกแถลงการณ์ขออภัย รวมถึงระบุรายละเอียดของข้อมูลและช่วงเวลาที่หลุด ว่าประกอบด้วย วัน เวลา และยอดเงินที่ทำการใช้จ่าย รวมถึงรหัสผู้ใช้และร้านค้า แต่ไม่มีข้อมูลบัญชี เบอร์โทร ที่อยู่ บัตรเครดิต หรือเลขบัญชีธนาคาร รวมถึงแจ้งเวลาที่ลบและแจ้งผู้ใช้ตามขั้นตอน พร้อมระบุว่าจะกำชับและฝึกฝนพนักงานให้เข้มงวดมากขึ้นต่อไป

Tags:
Node Thumbnail

Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น

สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย

Tags:
Node Thumbnail

Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่

ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้

Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น

Tags:
Node Thumbnail

BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท

ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์

Tags:
Node Thumbnail

NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)

ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ

Tags:
Node Thumbnail

หลัง Apple ฟ้อง NSO Group บริษัทอิสราเอลผู้สร้างมัลแวร์ Pegasus และการเจาะช่องโหว่ด้วย FORCEDENTRY พร้อมระบุในแถลงการณ์ ว่า Apple กำลังส่งแจ้งเตือนผู้ใช้ที่บริษัทพบว่าอาจตกเป็นเป้าหมายของ FORCEDENTRY และเมื่อตรวจพบการดำเนินการที่เข้าข่ายว่าเป็นการโจมตีโดยสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ Apple จะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบ

Tags:
Node Thumbnail

GitHub ออกฟีเจอร์ใหม่ชื่อ Advanced Security Enforcer เป็นสคริปต์เวิร์คโฟลว์ภายใต้ GitHub Actions ที่ช่วยบังคับให้โค้ด repository มีความปลอดภัยสูงขึ้นตั้งแต่แรกเริ่มโครงการ ตามมาตรฐานความปลอดภัยที่ GitHub เตรียมไว้ให้แล้ว

Tags:
Node Thumbnail

แอปเปิลยื่นฟ้องบริษัท NSO Group ผู้สร้างมัลแวร์ Pegasus ที่สามารถเข้าควบคุมเครื่องเหยื่อได้อย่างสมบูรณ์โดยที่เหยื่อไม่รู้ตัว และสามารถแฮกได้ทั้ง Android และ iOS โดยแอปเปิลนับเป็นบริษัทล่าสุดที่ยื่นฟ้อง หลังจาก WhatsApp ของเฟซบุ๊กฟ้องเป็นบริษัทแรกๆ เมื่อปี 2019 และตามมาด้วยบริษัทไอทีใหญ่ๆ เช่น ไมโครซอฟท์, ซิสโก้, กูเกิล, และเดลล์ เมื่อปลายปี 2020

Tags:
Node Thumbnail

ผู้ใช้ GitHub ชื่อบัญชี plutooo ประกาศความสำเร็จในการดึงกุญแจ TSEC ออกจากซีพียู Tegra ใน Nintendo Switch ซึ่งหากเป็นกุญแจจริงก็น่าจะเปิดทางให้เครื่องรุ่นใหม่ๆ ติดตั้ง Homebrew กันได้อีกครั้ง

plutooo เล่าถึงช่องโหว่ของ Switch ว่าตัวเฟิร์มแวร์ bootloader นั้นมีช่องโหว่จนเปิดทางให้แฮกเกอร์รันโค้ดได้ตามใจชอบ แต่ Nintendo ก็ออกอัพเดต 6.2.0 ในปี 2018 เปลี่ยนเส้นทางการบูต ไปบูตในซีพียู TSEC ที่เป็นซีพียูย่อยอยู่ใน Tegra อีกที โดยซีพียูตัวนี้จะตรวจสอบโค้ดก่อนรัน และสั่งบูตซีพียูหลักอีกครั้งด้วย bootloader ที่ตรวจสอบแล้ว

Tags:
Node Thumbnail

Kraken ศูนย์แลกเปลี่ยนเงินคริปโต สาธิตถึงกระบวนการปลอมลายนิ้วมือเพื่อล็อกอินโทรศัพท์และโน้ตบุ๊กในราคาประหยัด ต้นทุนโดยรวมเพียง 5 ดอลลาร์หรือ 160 บาทเท่านั้น

การสาธิตเริ่มจากเก็บภาพลายนิ้วมือด้วยกล้องโทรศัพท์มือถือธรรมดา โดยไม่ต้องเก็บภาพจากนิ้วมือโดยตรงแต่เก็บจากจุดที่ลายนิ้วมือไปติด เช่น พื้นโต๊ะ จากนั้นอาศัยการแต่งภาพเพื่อปรับภาพให้ชัดขึ้นแล้วพิมพ์ลงบนแผ่นใสด้วยเครื่องพิมพ์เลเซอร์ สุดท้ายคือการทากาวลาเท็กซ์ลงไปบนแผ่นใส รอให้แห้งก็จะได้ลายนิ้วมือปลอมออกมา

Tags:
Node Thumbnail

GoDaddy เว็บโฮสติ้งรายใหญ่ของโลก แจ้งข้อมูลต่อ ก.ล.ต. สหรัฐ (SEC) ว่าบริษัทโดนเจาะระบบให้บริการโฮสติ้ง WordPress เป็นระยะเวลาประมาณ 2 เดือน กระทบลูกค้าอย่างน้อย 1.2 ล้านราย

รายงานของ GoDaddy บอกว่าเหตุการณ์เจาะระบบเกิดขึ้นเมื่อ 6 กันยายน แต่บริษัทเพิ่งมาพบร่องรอยเมื่อ 17 พฤศจิกายนที่ผ่านมา ระบบที่ได้รับผลกระทบคือส่วน Managed WordPress ที่เป็นบริการรับฝากเว็บที่ใช้ WordPress โดยทีมงานของ GoDaddy ดูแลระบบหลังบ้านให้เสร็จสรรพ (ลักษณะเดียวกับ WordPress.com)

Tags:
Node Thumbnail

Federal Deposit Insurance Corporation (FDIC) หน่วยงานกำกับดูแลธนาคารสหรัฐฯ ออกกฎบังคับให้ธนาคารต้องแจ้งเหตุความมั่นคงปลอดภัยคอมพิวเตอร์ไปยังหน่วยงานกำกับดูแลภายใน 36 ชั่วโมง

กฎนี้ไม่ได้บังคับให้แจ้งทุกครั้ง แต่บังคับเฉพาะเหตุที่มีความรุนแรงอย่างมีนัยสำคัญ โดยเฉพาะเหตุที่กระทบต่อการให้บริการ หรือเสถียรภาพของระบบการเงิน นอกจากนี้ผู้ให้บริการแทนธนาคาร (bank service provider) ก็จะถูกบังคับให้ต้องแจ้งเหตุความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ไปยังธนาคารเช่นกัน

Tags:
Node Thumbnail

JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน

รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง

Pages