ทีมวิจัยของบริษัท Eclypsium รายงานผลการสำรวจเราท์เตอร์ MikroTik ที่ได้รับความนิยมอย่างสูงในหมู่ธุรกิจขนาดเล็ก พบว่าผู้ใช้จำนวนมากไม่ยอมอัพเดตเฟิร์มแวร์ จนทำให้แฮกเกอร์สามารถเข้ายึดเราท์เตอร์เหล่านี้ได้โดยง่าย

Eclypsium สำรวจข้อมูลจาก Shodan พบว่าเราท์เตอร์ที่น่าจะเข้าข่ายมีช่องโหว่มีอยู่ถึง 300,000 ไอพี และในจำนวนนี้มีประมาณ 20,000 เครื่องที่เปิดบริการ proxy แล้วแอบใส่สคริปต์ขุดเงินคริปโตเอาไว้

ช่องโหว่ทั้งหมดที่ใช้สำรวจครั้งนี้ถูกแก้ไขใน RouterOS รุ่นใหม่ๆ ทั้งหมดแล้ว โดยช่องโหว่มีการรายงานมานานกว่า 2 ปี แต่ผู้ใช้จำนวนหนึ่งก็ยังไม่ได้อัพเดตแพตช์

Elastic ออกอัพเดต Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 แล้วเมื่อช่วงปลายเดือนธันวาคม โดยจุดสำคัญของเวอร์ชันนี้คืออัพเดต Apache Log4j เป็นเวอร์ชันใหม่เพื่อแก้ช่องโหว่ Log4Shell ที่เป็นข่าวในช่วงต้นเดือนธันวาคมที่ผ่านมา

สำหรับตัว Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 มีอัพเดตแก้ไขดังนี้

ภัยไซเบอร์มีความซับซ้อนสูงขึ้นเรื่อยๆ ในช่วงไม่กี่ปีที่ผ่านมา จากการใช้งานช่องโหว่ที่ไม่เคยมีรายงานก่อนหน้า (0-day) เพื่อโจมตีเป้าหมาย การใช้ช่องโหว่เช่นนี้ทำให้องค์กรป้องกันตัวได้ยากเพราะไม่มีข้อมูลว่าซอฟต์แวร์ตัวไหนจะตกเป็นเป้าการโจมตีบ้าง บริษัทใหญ่ๆ ระดับโลกที่มีซอฟต์แวร์รันอยู่ในเครื่องผู้ใช้จำนวนมาก มักมีโครงการจัดการภัยไซเบอร์ในภาพใหญ่ เพื่อเพิ่มความปลอดภัยให้โลกไซเบอร์โดยรวม เช่น Project Zero ของกูเกิลที่มักเผยแพร่งานวิจัยช่องโหว่ของซอฟต์แวร์ต่างๆ ไม่ว่าจะเป็นของกูเกิลเองหรือของผู้ผลิตอื่นๆ ทางฝั่งไมโครซอฟท์นั้นก็มีโครงการแบบเดียวกัน และเมื่อต้นเดือนที่ผ่านมา Blognone ก็ได้พูดคุยกับ Aanchal Gupta รองประธานของไมโครซอฟท์ที่ดูแลด้านความปลอดภัยไซเบอร์ โดยเธอมาเล่าถึงการทำงานของ Micros

Alibaba Cloud แถลงว่าจะปรับปรุงกระบวนการให้เป็นไปตามกฎของรัฐบาลจีนยิ่งขึ้น หลังจากกระทรวงอุตสาหกรรมและเทศโนโลยีสารสนเทศจีน (MIIT) แสดงความไม่พอใจที่ไม่ได้รับข้อมูลช่องโหว่ Log4j โดยแถลงการณ์ของบริษัทระบุว่าวิศวกรที่พบช่องโหว่แจ้งไปยัง Apache Foundation ตามแนวทางปกติของอุตสาหกรรม และตอนแรกไม่ได้ตระหนักว่าช่องโหว่นี้ร้ายแรงแค่ไหนจึงไม่ได้รีบแจ้งรัฐบาลโดยเร็ว

MIIT พยายามสร้างแพลตฟอร์มกลางสำหรับแชร์ข้อมูลภัยไซเบอร์ระหว่างเอกชนและรัฐบาลจีนมาตั้งแต่ปี 2019 และที่ผ่านมาพยายามให้บริษัทต่างๆ ในจีนส่งช่องโหว่เข้าไปยังกระทรวง โดยวางข้อบังคับแก่บริษัทจีนตั้งแต่วันที่ 1 กันยายนที่ผ่านมา

Apache ออกอัพเดต Apache HTTP Server เวอร์ชัน 2.4.52 แก้ไขสองช่องโหว่ร้ายแรงที่มีรายงานก่อนหน้านี้ CVE-2021-44790 และ CVE-2021-44224 ซึ่งผู้โจมตีอาจเข้ามาควบคุมระบบที่กระทบได้

บริษัท NSO Group จากอิสราเอล ผู้สร้างมัลแวร์ Pegasus ใช้เจาะ iPhone กลายเป็นข่าวใหญ่ช่วงปลายปีนี้ หลังโดนสหรัฐอเมริกาสั่งแบนห้ามทำการค้าด้วย ตามด้วยการโดนแอปเปิลฟ้องร้อง และส่งอีเมลเตือนผู้ใช้ที่มีความเสี่ยงจาก Pegasus

หนังสือพิมพ์ Financial Times รายงานเบื้องหลังเหตุการณ์ที่ทำให้ NSO Group โดนสหรัฐอเมริกาแบน เป็นเพราะมีลูกค้าของ NSO ในประเทศยูกันดา นำ Pegasus ไปเจาะโทรศัพท์ของนักการทูตสหรัฐในยูกันดา 11 คน

กระทรวงกลาโหมเบลเยียมถูกคนร้ายแฮกด้วยช่องโหว่ Log4j ตั้งแต่วันพฤหัสที่ผ่านมา จนระบบหลายส่วนใช้งานไม่ได้ และผู้เกี่ยวข้องต้องแก้ไขปัญหาตลอดสุดสัปดาห์ที่ผ่านมา

แถลงการไม่เปิดเผยว่าระบบใดถูกโจมตีบ้าง และถูกโจมตีโดยกลุ่มใด แต่ระบุเพียงว่าจำกัดความเสียหายได้แล้ว

กระบวนการบล็อคเว็บนั้นมีหลายวิธีการและหลายเหตุผล ทั้งการควบคุมเนื้อหา ไม่ว่าจะเป็นรัฐบาลต้องการเซ็นเซอร์เว็บหรือผู้ปกครองต้องการระมัดระวังไม่ให้บุตรหลานเข้าถึงข้อมูลไม่เหมาะสม, เพิ่มความปลอดภัยหากเรามีรายการของโดเมนที่เป็นภัยหรือถูกแฮก, ตลอดจนการรักษาความเป็นส่วนด้วยด้วยการบล็อคโดเมนที่เกี่ยวข้องกับการโฆษณา ที่เป็นที่นิยมค่อนข้างมาก จนโครงการ Pi-hole กลายเป็นหนึ่งในโครงการยอดนิยมของ GitHub ด้วยจำนวนดาวถึง 34,100 ดาว

โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service

ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่

นักวิจัยพบช่องโหว่ CVE-2021-44228 ร้ายแรงสูงในแพ็กเกจ Log4j ตั้งแต่สัปดาห์ที่ผ่านมา แม้ทางโครงการจะแพตช์ได้อย่างรวดเร็ว แต่ก็พบช่องโหว่ระดับปานกลาง CVE-2021-45046 แต่หลังจากศึกษาเพิ่มเติมก็เป็นไปได้ว่าช่องโหว่ CVE-2021-45046 นี้อาจจะกลายเป็นช่องโหว่ร้ายแรงสูง แม้จะเบากว่าช่องโหว่แรกก็ตาม

CVE-2021-45046 เกิดจากการปิด message lookup (พยายามแทนค่าใน log ด้วยข้อมูลภายนอก) ไม่ครบถ้วน โดยออปเจกต์ ThreadContext ยังคง lookup อยู่ แม้จะเปิดตัวเลือก formatMsgNoLookups สั่งไม่ให้ lookup ไปแล้วก็ตาม การใช้งานรูปแบบนี้เป็นรูปแบบที่ไม่ได้ใช้งานทั่วไป และ Log4j เองก็ปิดการดาวน์โหลดโค้ดจากภายนอกไว้แล้ว ทำให้ช่วงแรกนักวิจัยมองว่าช่องโหว่นี้มีความร้ายแรงต่ำ

เมื่อวันที่ 9 ธันวาคมที่ผ่านมา บริษัท Irisity ผู้ให้บริการด้านโปรแกรมวิเคราะห์วิดีโอด้วย AI สัญชาติสวีเดนระบุว่าได้นำส่งโปรแกรมวิเคราะห์วิดีโอให้กับรัฐบาลไทย เพื่อใช้ในการรักษาความมั่นคงของรัฐทั่วประเทศ

ดีลนี้มูลค่าเริ่มต้น 1 แสนดอลลาร์สหรัฐฯ หรือราว 3.34 ล้านบาท แต่ไม่ได้เปิดเผยข้อมูลอื่น โดย Irisity ระบุว่าข้อมูลเป็นความลับตามปกติของอุปกรณ์ด้านความมั่นคงและเป็นไปเพื่อการรักษาความสัมพันธ์กับลูกค้า

เมื่อวานนี้ ไมโครซอฟท์ออก Patch Tuesday รอบเดือนธันวาคม 2021 อุดช่องโหว่ของซอฟต์แวร์หลายตัว เช่น Microsoft Edge, VS Code, Office, PowerShell, Windows Server รวมช่องโหว่ทั้งหมด 67 ตัว

ช่องโหว่สำคัญในแพตช์รอบนี้มีทั้งหมด 6 ตัว และมีช่องโหว่ที่ถูกใช้โจมตีจริงแล้ว 1 ตัว เกี่ยวกับตัวติดตั้งแพ็กเกจ Windows AppX ที่ใช้แพ็กเกจมาทะลุช่องโหว่นี้เพื่อติดตั้งมัลแวร์ลงในเครื่อง

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

มัลแวร์ Pegasus ของ NSO Group มีความซับซ้อนสูง และสามารถทะลุระบบป้องกันของบริษัทต่างๆ ได้อย่างมีประสิทธิภาพจนบริษัทไอทีจำนวนมากรวมถึงแอปเปิลฟ้อง วันนี้ทาง Project Zero ของกูเกิลก็ออกมาวิเคราะห์ความเก่งกาจของกระบวนการเจาะเข้าไปวางมัลแวร์ในโทรศัพท์

Project Zero พบว่ากระบวนการแฮกโทรศัพท์แบบไม่ต้องคลิกใดๆ (zero click) ของ NSO Group อาศัยการส่งไฟล์ภาพนามสกุลไฟล์เป็น GIF ที่ iMessage จะพยายามแสดงภาพทันที แต่เนื้อไฟล์ภายในที่จริงแล้วเป็น PDF ที่ตัว iMessage จะรู้เมื่ออ่านเนื้อไฟล์ และพยายามเรนเดอร์ภาพอยู่ดีด้วย CoreGraphics PDF

Microsoft ประกาศว่าตอนนี้ฟีเจอร์ end-to-end encryption (E2EE) ของระบบโทรศัพท์บน Microsoft Teams ได้เข้าสู่สถานะ generally available แล้ว พร้อมให้ผู้ใช้ทุกคนใช้งานอย่างเป็นทางการ

สำหรับฟีเจอร์ E2EE บน Microsoft Teams ทางผู้ดูแลระบบขององค์กรจะต้องเปิดฟีเจอร์ดังกล่าวก่อน ส่วนฝั่งผู้ใช้สามารถใช้งานได้ทั้ง Teams บน Windows และ Mac โดยการเปิด E2EE จะทำให้การคุยระหว่างสองคนปลอดภัยยิ่งขึ้น และทำให้การสอดแนมระบบโทรศัพท์ทำได้ยากกว่าเดิม

อย่างไรก็ดี Microsoft เตือนว่าฟีเจอร์สำคัญหลายอย่างอาจไม่สามารถใช้งานได้หากเปิดใช้โหมดต่อสายแบบ E2EE ไม่ว่าจะเป็นระบบบันทึก, โอนสายข้ามอุปกรณ์, ลากคนเข้ามาในสายเพื่อขยายเป็นโทรแบบกลุ่ม และ live caption ถ้าจะใช้ฟีเจอร์เหล่านี้จะต้องปิด E2EE ก่อน

กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐ (Department of Homeland Security หรือ DHS) เปิดโครงการ bug bounty เชิญชวนแฮ็กเกอร์สายขาวมาแฮ็กระบบของ DHS พร้อมรับเงินรางวัลตอบแทน

โครงการนี้มีชื่อว่า "Hack DHS" มีกิจกรรมทั้งการค้นหาช่องโหว่แบบออนไลน์ และกิจกรรมออฟไลน์ให้แข่งขันกัน หลังจากนั้น DHS จะมาสรุปบทเรียนและพัฒนาเป็นโครงการในระยะถัดไป

Alejandro N. Mayorkas รัฐมนตรี DHS ให้สัมภาษณ์ว่ารัฐบาลสหรัฐต้องการยกระดับความปลอดภัยของระบบไอที ดังนั้น DHS จึงต้องทำตัวเป็นตัวอย่างก่อนใครเพื่อน โครงการ Hack DHS เกิดขึ้นมาเพื่อค้นหาจุดโหว่ของระบบของ DHS เอง และต้องการเป็นต้นแบบให้องค์กรภาครัฐอื่นๆ ทำตาม

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตามรายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

สถิติของ Check Point พบว่าระบบเครือข่ายขององค์กรทั่วโลก 43.9% ถูกลองโจมตีผ่านช่องโหว่นี้แล้ว ภูมิภาคที่โดนเยอะคือแอฟริกาและยุโรป ตัวเลขของบางประเทศขึ้นไปสูงถึง 62% ส่วนตัวเลขของประเทศไทยยังน้อยกว่าค่าเฉลี่ยคือ 38%

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

ช่องโหว่ CVE-2021-45046 ที่พบเพิ่มเติมมีความรุนแรงน้อยกว่าช่องโหว่เดิมมาก (CVSS 3.7 คะแนน ความร้ายแรงระดับปานกลาง) โดยกระทบกับระบบที่คอนฟิกบางรูปแบบที่ต่างไปจากค่าเริ่มต้น และผลกระทบจากการโจมตีจะทำให้ระบบแครช กลายเป็นการโจมตีแบบ denial of service (DOS) เท่านั้น แต่จุดสำคัญคือการ formatMsgNoLookups ในเวอร์ชั่นก่อนหน้านี้ไม่สามารถปิดช่องโหว่นี้ได้

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

ล่าสุด Elastic ผู้พัฒนาซอฟต์แวร์ Elastic Stack ที่นิยมใช้ในงานมอนิเตอร์ได้ออกประกาศรายละเอียดผลกระทบของผลิตภัณฑ์แล้ว พร้อมคำแนะนำในการบรรเทาช่องโหว่ระหว่างรอแพทซ์ โดยหลังจากตรวจสอบแล้วพบว่าผลิตภัณฑ์ที่ได้รับผลกระทบคือ Elasticsearch, Logstash และ APM Java Agent มีรายละเอียดดังนี้

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

• official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
• modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
• game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts