Sonatype พบแพ็กเกจภาษาไพธอน 4 ตัวบน PyPI มีโค้ดขโมยข้อมูลบนเครื่อง ซึ่งอาจจะเป็นข้อมูลล็อกอินหรือกุญแจล็อกอินเซิร์ฟเวอร์ โดยตอนนี้พบ 5 โมดูลผ่านระบบอัตโนมัติของ Sonatype ได้แก่ loglib-modules (ชื่อเลียนแบบ loglib), pyg-modules (เลียนแบบ pyg), pygrata, pygrata-utils, hkg-sol-utils

จากการตรวจสอบพบว่าในโค้ด setup.py จะพยายามกวาดเอาไฟล์ข้อมูลสำคัญ เช่น ตัวแปร environment, กุญแจ AWS, หรือกุญแจ secure shell เพื่ออัพโหลดไปยังเซิร์ฟเวอร์คนร้าย

บริษัทวิจัยความปลอดภัย Trail of Bits ได้รับทุนจาก DARPA ทำรายงานวิเคราะห์ถึงความ "ไร้ศูนย์กลาง" ของระบบบล็อคเชนทั้งหลายในตอนนี้ และพบว่าโลกบล็อคเชนนั้นยังมีความรวมศูนย์อยู่มาก

กระบวนการวิเคราะห์หาความรวมศูนย์ของรายงาน วิเคราะห์ความรวมศูนย์ 6 ด้าน ได้แก่

QNAP แจ้งเตือนช่องโหว่ CVE-2019-11043 ของ PHP 7.x ที่เมื่อบั๊กนี้เจอกับคอนฟิก nginx บางรูปแบบก็จะเปิดช่องโหว่รันโค้ดระยะไกล เปิดทางให้แฮกเกอร์เข้ายึด NAS ของเหยื่อได้

ช่องโหว่นี้ทาง PHP แก้ไขไปตั้งแต่ปี 2019 แต่ทาง QNAP ไม่ได้อัพเดต อย่างไรก็ดีทาง QNAP ระบุว่า ค่าเริ่มต้นของ QNAP ไม่ได้ติดตั้ง nginx มาแต่แรก (เว็บเซิร์ฟเวอร์มาตรฐานเป็น Apache 2) และตอนนี้ก็เริ่มปล่อยแพตช์ให้ QTS 5.0 และ QuTS hero h5.0 แล้ว ส่วนเวอร์ชั่นอื่นๆ กำลังอยู่ระหว่างปล่อยอัพเดตต่อไป

ID Ransomware บริการระบุมัลแวร์เรียกค่าไถ่ (ransomware) รายงานว่ามัลแวร์ในกลุ่ม ech0raix ที่มุ่งเรียกค่าไถ่จาก NAS เช่น QNAP และ Synology กลับมาระบาดเพิ่มขึ้นอีกครั้ง หลังจากระบาดหนักช่วงเดือนมกราคมและลดลงไป

แม้ ech0raix จะโจมตี NAS แบรนด์หลักทั้งสองยี่ห้อ แต่รอบนี้ทาง ID Ransomware พบการโจมตี QNAP เป็นหลัก โดยตอนนี้ยังไม่ชัดเจนว่าเหตุใดการโจมตีจึงเพิ่มขึ้น เพราะ ID Ransomware เป็นบริการที่เปิดให้ผู้ใช้ส่งตัวอย่างไฟล์เพื่อตรวจสอบสายพันธุ์มัลแวร์เท่านั้น ไม่ได้ตรวจสอบตัวมัลแวร์โดยตรงหรือตรวจสอบการโจมตี

ไมโครซอฟท์เปิดบริการ Microsoft Defender for Individuals ระบบจัดการความปลอดภัย โดยรวมอยู่ในบริการ Microsoft 365 Personal/Family แบบเสียเงิน โดยผู้ใช้จะได้ฟีเจอร์คล้ายขององค์กรมาบางส่วน แเช่น หน้าจอ dashboard รายงานความปลอดภัยของคนในครอบครัว และสามารถใช้งานได้ทั้งวินโดวส์, แมค, แอนดรอยด์, และไอโฟน

นอกจากการจัดการความปลอดภัยด้วยตัวป้องกันไวรัสของไมโครซอฟท์เองแล้ว Defender ยังรายงานการใช้งานตัวป้องกันไวรัสยี่ห้ออื่นๆ เข้าไว้ใน dashboard เหมือนกัน

ไมโครซอฟท์ออกอัพเดตประจำเดือนมิถุนายน 2022 มีรายการสำคัญคือการแก้ไขช่องโหว่ความปลอดภัย CVE-2022-30190 ที่เรียกว่า Follina อาศัยช่องโหว่ใน MSDT ฝังมาในเอกสาร Word ที่มีรายงานเมื่อเดือนที่แล้ว มีการโจมตีแล้ว แต่ยังไม่มีแพตช์

อัพเดตที่แก้ไขช่องโหว่นี้ครอบคลุมทั้ง Windows 10 (KB5014699) และ Windows 11 (KB5014697) โดยไมโครซอฟท์แนะนำให้ลูกค้าอัพเดตทันทีเพื่อป้องกันปัญหาที่อาจเกิดขึ้น

ที่มา: The Verge

ทีมนักวิจัยรายงานถึงการดึงกุญแจเข้ารหัสโดยอาศัยการจับเวลาตอบสนองของเซิร์ฟเวอร์ แม้ว่าตัวไลบรารีเข้ารหัสจะเป็นแบบใช้เวลาคงที่แล้วก็ตาม แต่เนื่องจากซีพียูมีการปรับสัญญาณนาฬิกาขึ้นลงตามคำสั่งประมวลผล ทำให้เวลาตอบสนองเปลี่ยนไปอยู่ดี เรียกว่าการโจมตี Hertzbleed

โครงการ Node.js ประกาศเลื่อนวันหมดอายุของ Node.js 16 LTS รุ่นปัจจุบัน ให้เร็วกว่าเดิม 7 เดือน จากเดิมหมดระยะซัพพอร์ตเดือนเมษายน 2024 มาเป็น 11 กันยายน 2023

เหตุผลเป็นเพราะ Node.js 16 ใช้ไลบรารีเข้ารหัส OpenSSL เวอร์ชัน 1.1.1 ที่จะหมดระยะซัพพอร์ต 11 กันยายน 2023 ดังนั้นหากปล่อยให้ OpenSSL 1.1.1 หมดระยะซัพพอร์ตไปก่อน Node.js 16 ช่วงเวลาที่เหลื่อมกันอาจมีความเสี่ยงเรื่องความปลอดภัยได้ เพราะ OpenSSL 1.1.1 จะไม่มีแพตช์ใหม่อีกแล้ว ทีมงานจึงตัดสินใจให้ Node.js 16 หมดอายุพร้อมกันไปเลย

MongoDB เปิดตัวฟีเจอร์ Queryable Encryption การคิวรีข้อมูลที่ถูกเข้ารหัสอยู่ได้ โดยจะเป็นฟีเจอร์หนึ่งของ MongoDB 6.0 เวอร์ชันหน้า

กฎหมายด้านการคุ้มครองข้อมูลทั่วโลกที่เข้มงวดขึ้นเรื่อยๆ ทำให้การเก็บข้อมูลองค์กรจำเป็นต้องแยกส่วนข้อมูล (separation of data) เช่น แยกเก็บข้อมูลที่ระบุตัวตนได้ไปไว้อีกส่วน รวมถึงต้องเข้ารหัสข้อมูลเพื่อป้องกันการเข้าถึงจากฐานข้อมูลโดยตรง

การเข้ารหัสข้อมูลในปัจจุบันเป็นการเข้ารหัสระหว่างส่ง (in-transit) และตอนนำไปพักเก็บไว้เฉยๆ (at-rest) แต่การเข้ารหัสขณะใช้งาน (in-use) ยังทำได้ยาก มีความซับซ้อนสูง และมีข้อจำกัดในการคิวรีค้นหาข้อมูล

แอปเปิลเปิดบริการ Passkeys บริการสร้าง เปิดทางให้ผู้ใช้ล็อกอินบริการต่างๆ ได้โดยง่าย ไม่มีการตั้งรหัสผ่านอีกต่อไป แต่อาศัยมาตรฐาน WebAuthn เพื่อขอล็อกอินกับตัวอุปกรณ์เช่น โน้ตบุ๊กหรือโทรศัพท์ได้เลย

กุญแจ Passkeys จะซิงก์ข้ามอุปกรณ์ของแอปเปิลผ่าน iCloud Keychain ทำให้สามารถล็อกอินด้วยอุปกรณ์อะไรก็ได้ หรือหากต้องการล็อกอินบนอุปกรณ์อื่นที่ไม่ใช่ของแอปเปิลก็ยังแสกน QR มาล็อกอินได้ แบบเดียวกับการล็อกอิน LINE บนเดสก์ทอป

แนวทางนี้ตรงกับแนวทางที่แอปเปิลประกาศร่วมกับไมโครซอฟท์และกูเกิลไว้ก่อนหน้านี้ว่าจะผลักดันมาตรฐานการล็อกอินแบบไร้รหัสผ่าน

ใน iOS 16 มีอัพเดตฟีเจอร์เล็ก ๆ ที่หลายคนน่าจะอยากให้มีนานแล้ว ซึ่งแอปเปิลระบุในหน้ารายละเอียดฟีเจอร์ใหม่ ว่าแอป Photos จะล็อคการเข้าถึงโฟลเดอร์ Hidden และ Recently Deleted เป็นค่าเริ่มต้น หากต้องการเข้าไปจัดการรูปในนั้น ต้องปลดล็อคด้วย Face ID, Touch ID หรือใส่ Passcode

ก่อนหน้านี้ใน iOS 15 แอปเปิลได้ปรับปรุงการเข้าถึงโฟลเดอร์สองอันนี้ โดยนำไปไว้แถวล่างสุดของแอปเพื่อไม่ให้เห็นเด่น แต่ก็สามารถเข้าถึงรูปในนั้นได้หากปลดล็อกที่ระดับอุปกรณ์สำเร็จ การเพิ่มระดับการเข้าถึงนี้จะช่วยปกป้องข้อมูลผู้ใช้งานได้มากขึ้นนั่นเอง

Atlassian แจ้งเตือนว่า Confluence Server และ Confluence Data Center ระบบจัดการโครงการซอฟต์แวร์ มีช่องโหว่ CVE-2022-26134 เปิดทางให้แฮกเกอร์รันโค้ดในเซิร์ฟเวอร์ได้ โดยตอนนี้พบแฮกเกอร์เริ่มโจมตีแล้ว และยังไม่มีแพตช์

ลูกค้าที่ใช้บริการ Confluence ผ่านทาง Atlassian Cloud ไม่ได้รับผลกระทบจากช่องโหว่นี้ ตัวช่องโหว่กระทบตั้งแต่ Confluence 7.4.0 ขึ้นไป แต่เวอร์ชั่นที่พบว่าถูกโจมตีคือ 7.18.0

ตอนนี้ยังไม่มีแพตช์ ทาง Atlassian แนะนำว่าควรปิดไม่ให้เซิร์ฟเวอร์เข้าถึงจากอินเทอร์เน็ตได้ หรือไม่เช่นนั้นก็อาจจะปิดเซิร์ฟเวอร์ไปก่อน

ที่มา - Atlassian

Shadowserver Foundation หน่วยงานไม่หวังผลกำไรด้านความปลอดภัยไซเบอร์ ทดลองสแกนพอร์ต MySQL ของทั้งโลก (ตรวจสอบเฉพาะพอร์ต 3306/TCP ที่เป็นค่าดีฟอลต์) และพบว่ามีเซิร์ฟเวอร์ MySQL ที่สามารถเข้าถึงได้ (accessible คือตอบสถานะกลับมา แต่ไม่ได้ลองล็อกอิน) จำนวน 3.6 ล้านเครื่อง แบ่งเป็น IPv4 2.3 ล้านเครื่อง และ IPv6 อีก 1.3 ล้านเครื่อง

หากดูตัวเลขแยกรายประเทศ เอาเฉพาะ IPv4 สหรัฐอเมริกามีเซิร์ฟเวอร์ MySQL ถูกเข้าถึงได้มากที่สุด 7.4 แสนเครื่อง ตามด้วยจีน 2.96 แสนเครื่อง ส่วนประเทศไทยก็อยู่ในอันดับต้นๆ คือมี 1 หมื่นเครื่อง ถ้าดูของ IPv6 สหรัฐอเมริกามี 4.6 แสนเครื่อง เนเธอร์แลนด์ 2.96 แสนเครื่อง และสิงคโปร์ 2.18 แสนเครื่อง (ไทยมี 136 เครื่อง IPv6)

ไมโครซอฟท์ประกาศจัดชุดบริการยืนยันตัวตนและจัดการการเข้าถึง (Identity and Access Management - IAM) เข้าเป็นแบรนด์ Microsoft Entra จากเดิมที่เป็นบริการภายใต้แบรนด์ Azure พร้อมกับเพิ่มบริการที่ซื้อบริษัท CloudKnox Security เข้ามา โดยรวม Microsoft Entra จะมีบริการหลัก 3 ส่วน คือ

ไมโครซอฟท์แจ้งเตือนช่องโหว่ CVE-2022-30190 ช่องโหว่รันโค้ดผ่าน URL ที่เป็นโปรโตคอลสำหรับ Microsoft Support Diagnostic Tool (MSDT) โดยฝัง URL ในเอกสารในรูปแบบ ms-msdt:/ เมื่อผู้ใช้เปิดเอกสารก็จะกลายเป็นการรันโค้ดทันที แม้จะเป็นการเปิดเอกสารแบบพรีวิว, เปิดแบบ read-only, หรือเปิดใน Word ที่ปิดฟีเจอร์มาโครก็ตามที

ตอนนี้มีมัลแวร์จำนวนหนึ่งเริ่มอาศัยช่องโหว่นี้แล้ว และยังไม่มีแพตช์เป็นทางการ โดยไมโครซอฟท์แนะนำให้ลบการรองรับ URL สำหรับ MSDT ออก แต่กระบวนการยุ่งยากเล็กน้อยเพราะต้องลบ registry ด้วยตัวเองเท่านั้น ไม่มีหน้าจอสำหรับกระบวนการนี้

GitHub รายงานข้อมูลเพิ่มเติมจากเหตุโทเค็น OAuth รั่วไหลเมื่อเดือนเมษายนที่ผ่านมา พบว่าคนร้ายได้รับข้อมูลมากกว่าซอร์สโค้ดของ npm เอง โดยคนร้ายได้ฐานข้อมูล ชื่อผู้ใช้, อีเมล, และค่าแฮชรหัสผ่าน ของผู้ใช้ประมาณ 100,000 คนไปด้วย

ข้อมูลที่หลุดไปอยู่ในไฟล์สำรองข้อมูลของเว็บ skimdb.npmjs.com ที่สำรองไว้ตั้งแต่วันที่ 7 เมษายน 2021 ในไฟล์ข้อมูลยังมี metadata ของแพ็กเกจส่วนตัวทั้งหมด, และแพ็กเกจภายในขององค์กรสององค์กร

Heroku ประกาศเปิดการเชื่อมต่อเข้ากับ GitHub ดังเดิม หลังจากปิดให้บริการไปตั้งแต่ช่วงกลางเดือนเมษายน เมื่อทาง GitHub พบว่าโทเค็นรั่วไหล นับเป็นการปิดเคสใหญ่ที่ทำให้บริการทำงานได้ไม่สมบูรณ์นานกว่าหนึ่งเดือน

ทาง Heroku ระบุว่าจะทำงานร่วมกับ GitHub เพื่อให้สามารถออกโทเค็นที่ได้สิทธิ์เท่าที่จำเป็นสำหรับการทำงานร่วมกันเท่านั้น จากเดิมที่เป็นการขอสิทธิ์ repo ซึ่งได้สิทธิ์มาเกินที่ใช้งาน พร้อมกับเตรียมเปิดใช้มาตรฐาน RFC8705 สำหรับการล็อกโทเค็นเข้ากับใบรับรองเข้ารหัส

สัปดาห์ที่ผ่านมามีรายงานถึงการอัพเดตแพ็กเกจโอเพนซอร์สที่ไม่ได้อัพเดตมานานหลายปีแล้ว สองแพ็กเกจ คือ ctx ในภาษา Python และ phpass ในภาษา PHP กลับถูกอัพเดตขึ้นมา และแทรกโค้ดขโมยกุญแจ AWS เข้ามาด้วย

เวอร์ชั่นมุ่งร้ายของแพ็กเกจทั้งสองจะหา environment variable สองตัว คือ AWS_ACCESS_KEY และ AWS_SECRET_KEY เพื่อส่งกลับไปยังแอป Heroku ของคนร้าย ตอนนี้ยังไม่มีรายงานว่ามีเหยื่อถูกโจมตี AWS ด้วยแนวทางนี้มากน้อยแค่ไหน

กระทรวงยุติธรรมสหรัฐฯ ประกาศนโยบายการดำเนินคดีตามกฏหมายคอมพิวเตอร์สหรัฐฯ (Computer Fraud and Abuse Act - CFAA) ระบุว่าหากนักวิจัยทดสอบระบบในรูปแบบที่พยายามหลีกเลี่ยงการสร้างความเสียหาย และทำไปเพื่อเสริมสร้างความปลอดภัยโดยรวมแล้วจะไม่ดำเนินคดี

แนวนโยบายชุดนี้ยังระบุถึงประเภทคดีที่จะไม่ดำเนินคดีตาม CFAA เช่น ลูกจ้างใช้คอมพิวเตอร์เข้าเว็บไซต์ที่ไม่เกี่ยวกับงาน, ผู้ใช้เว็บไซต์ไม่ทำตามข้อตกลงการใช้งาน (เช่น เว็บระบุให้ใช้ชื่อจริง),

อย่างไรก็ดีหากอัยการมีข้อสงสัยว่าแฮกเกอร์ใช้การวิจัยความปลอดภัยเป็นการบังหน้า ก็จะมีส่วนงานอาชญากรรมคอมพิวเตอร์มาพิจารณาคดีเป็นรายๆ ไปอีกชั้นหนึ่ง

Acer ออกโน้ตบุ๊กธุรกิจซีรีส์ TravelMate P4 และ P2 ตามรอบซีพียูโน้ตบุ๊กของอินเทลและเอเอ็มดี ดังนี้

• Acer TravelMate P4 โน้ตบุ๊กสายมาตรฐาน มีทั้งหน้าจอ 14" และ 16" เลือกได้ซีพียูอินเทล 12th Gen Core vPro หรือเอเอ็มดี Ryzen 7 Pro ราคาเริ่มต้นที่ 1,099 ดอลลาร์
• Acer TravelMate Spin P4 โน้ตบุ๊กจอสัมผัส พับจอเป็นแท็บเล็ตได้ มีให้เลือกขนาดหน้าจอ 14" ตัวเดียว ราคาเริ่มต้น 1,199 ดอลลาร์
• Acer TravelMate P2 โน้ตบุ๊กธุรกิจราคาย่อมเยา มีหน้าจอ 14" และ 15.6" มีแต่ซีพียูอินเทล ราคาเริ่มต้น 899 ดอลลาร์

เหตุการณ์ Heroku ถูกคนร้ายเข้าถึงฐานข้อมูลในช่วงเดือนเมษายน จนกระทั่งโทเค็น GitHub รั่วไหลยังไม่จบง่ายๆ โดยวันนี้บริษัทส่งอีเมลแจ้งลูกค้าว่าอาจจะมีข้อมูลอื่นๆ รั่วไหลเพิ่มเติม

ข้อมูลที่คนร้ายอาจจะได้ไปคือ pipeline-level config vars ซึ่งอาจจะมีโทเค็นของบริการอื่นๆ นอกเหนือจาก GitHub ผู้ใช้ Heroku ที่เก็บข้อมูลควรรีบรีเซ็ตโทเค็นเหล่านี้ทั้งหมด

ทาง Heroku ระบุว่าตรวจสอบพบว่าคนร้ายเข้าถึงฐานข้อมูล pipeline นี้เมื่อวันที่ 16 พฤษภาคมที่ผ่านมาจึงนำมาแจ้งลูกค้า และคาดว่ากระบวนการสอบสวนจะเสร็จสิ้นในวันที่ 30 พฤษภาคมนี้

Google Cloud เปิดโครงการ Assured Open Source Software (Assured OSS) ดูแลความปลอดภัยซอฟต์แวร์โอเพนซอร์สให้จากซอร์สโค้ดจนถึงแพ็กเกจพร้อมติดตั้ง โดยคาดว่าช่วงแรกจะเริ่มกับแพ็กเกจบางส่วนของจาวาและไพธอนก่อน

ซอฟต์แวร์ที่เข้าโครงการนี้จะถูกสแกนหาและวิเคราะห์ช่องโหว่, รัน fuzz-test เพื่อหาบั๊ก กระบวนการคอมไพล์เป็นแพ็กเกจต้องรันบน Cloud Build จากนั้นแพ็กเกจที่ได้จะถูกเซ็นดิจิทัลโดยกูเกิลและแจกจ่ายผ่านบริการ Artifact Registry

ทีมวิจัยจาก Secure Mobile Networking Lab, TU Darmstad ในเยอรมนีรายงานถึงการสำรวจช่องโหว่ะดับฮาร์ดแวร์ของไอโฟน ที่เฟิร์มแวร์ส่วนใหญ่จะถูกตรวจสอบความถูกต้องด้วยลายเซ็นดิจิทัล แต่ชิป Bluetooth กลับไม่ได้ตรวจสอบความถูกต้องเฟิร์มแวร์ เปิดทางให้แฮกเกอร์แก้ไขและใส่โค้ดมุ่งร้ายลงไป

ชิป Bluetooth เป็นหนึ่งในวงจรที่ทำงานบนไอโฟนโดยปิดไม่ได้ เรียกว่า low power mode (LPM) โหมดนี้มีไว้สำหรับการทำงานของ Find My ที่สามารถหาโทรศัพท์หายได้แม้ปิดเครื่อง หรือ NFC ที่สามารถจ่ายเงินได้เสมอ

NCC Group แจ้งเตือนช่องโหว่ร้ายแรงปานกลางในแอป Tesla ที่สามารถปลดล็อกและสตาร์ตรถได้เมื่อโทรศัพท์ผู้ใช้หรือกุญแจไร้สายอยู่ใกล้รถ โดยการโจมตีใช้ relay attack ดึงสัญญาณเชื่อมต่อรถกับโทรศัพท์แม้จะอยู่ไกลกัน โดยการโจมตีแบบนี้อาจจะใช้กับการปลดล็อกอุปกรณ์อื่นๆ ที่อาศัยการประมาณระยะห่างของโทรศัพท์กับอุปกรณ์ด้วยความแรงสัญญาณได้เหมือนกัน

รถรุ่นใหม่ๆ, คอมพิวเตอร์, หรือประตูดิจิทัลหลายรุ่นมีฟีเจอร์ปลดล็อกได้เอง เมื่ออุปกรณ์ Bluetooth เช่นโทรศัพท์มือถืออยู่ใกล้ โดยผู้ใช้ไม่ต้องเปิดแอปหรือกดอะไรเลย โดยตัวอุปกรณ์ที่ล็อกอยู่เช่นรถยนต์นั้นจะวัดความแรงสัญญาณตอบกลับจากโทรศัพท์ว่าแรงพอหรือไม่ หากแรงพอก็จะถือว่าอยู่ในระยะใกล้และปลดล็อก

มูลนิธิด้านโอเพนซอร์ส 2 แห่งคือ Linux Foundation และ Open Source Software Security Foundation (OpenSSF) ประกาศแผน 10 ข้อเพื่อยกระดับความปลอดภัยของวงการโอเพนซอร์ส และป้องกันปัญหา supply chain attack ในอนาคต