ช่องโหว่ CVE-2021-43798 ของ Grafana 8.0.0-beta1 ขึ้นไปรั่วออกสู่สาธารณะหลังนักวิจัยเพิ่งรายงานไปยัง Grafana เมื่อสัปดาห์ที่ผ่านมา และกำลังอยู่ระหว่างการปล่อยแพตช์ตามรอบในวันที่ 14 ธันวาคมนี้ ส่งผลให้ Grafana ต้องรีบปล่อยแพตช์ฉุกเฉิน
ช่องโหว่นี้เปิดทางให้แฮกเกอร์สามารถอ่านไฟล์ใดๆในเครื่องของเหยื่อได้ หากเปิดเว็บ Grafana ให้เข้าถึงผ่านอินเทอร์เน็ต ซึ่งทำให้แฮกเกอร์อ่านไฟล์สำคัญในเครื่องได้จนยึดเครื่องได้ในที่สุด ทำให้ช่องโหว่มีความร้ายแรงสูง คะแนน CVSSv3.1 อยู่ที่ 7.5 คะแนน
By: mk 
on 7 December 2021 - 20:30
Tags:
Mozilla เผยข้อมูลของ RLBox เทคนิคการทำ sandbox แบบใหม่ที่จะเริ่มใช้ใน Firefox 95 โดยเป็นความร่วมมือกับงานวิจัยของมหาวิทยาลัย UC San Diego และ University of Texas
เว็บเบราว์เซอร์ยุคปัจจุบันมีการทำ sandbox ห่อหุ้มเว็บไซต์ไว้ในโพรเซสของตัวเอง ป้องกันไม่ให้เว็บอันตรายสามารถเข้าถึงเว็บอื่นๆ หรือออกมาสร้างอันตรายนอกเบราว์เซอร์ได้
Mozilla บอกว่าเมื่อห่อหุ้มเว็บเพจได้แล้ว เป้าหมายต่อไปคือการแยกคอมโพเนนต์แต่ละส่วนของเบราว์เซอร์ ไม่ให้มายุ่งเกี่ยวกันได้ (เช่น แยกโพรเซสประมวลผลวิดีโอออกมา ไม่ต้องยุ่งกับเบราว์เซอร์หลัก) โดยเฉพาะไลบรารีภายนอกที่อาจมีช่องโหว่ แต่ Mozilla ไม่สามารถควบคุมคุณภาพของโค้ดได้เอง (ปํญหา supply-chain attack ที่เกิดขึ้นบ่อยในช่วงหลัง)
By: mheevariety 
on 7 December 2021 - 15:56
Tags:
Topics:
บริษัทวิจัยความปลอดภัยไซเบอร์ Red Canary ของสหรัฐฯ พบว่าโปรแกรมเปิดใช้ Windows เถื่อน หรือ Windows Activator ยอดนิยม KMSpico อาจแถมมัลแวร์ CryptBot ที่สามารถขโมยข้อมูลจากบราวเซอร์ รวมไปถึงรายละเอียดกระเป๋าเงินคริปโต บัตรเครดิต และเก็บภาพหน้าจอของระบบที่ติดเชื้อได้
Red Canary พบว่า CryptBot อาจแฝงตัวมากับลิงก์ดาวน์โหลด KMSpico ที่หาได้ตามออนไลน์ โดยอาจมีการติดตั้ง CryptBot หรือมัลแวร์อื่นพร้อมกับที่ผู้ใช้กดแอคติเวต KMSpico ทำให้ข้อมูลบราวเซอร์และกระเป๋าคริปโตของผู้ใช้เช่น Seed Phase ของ MetaMask ถูกขโมยได้
ข้อมูลลูกค้าที่เข้าร่วมโปรโมชั่นกับ LINE Pay ช่วงเดือนธันวาคม 2020 จนถึงเมษายน 2021 กว่า 133,484 แบ่งเป็นจากญี่ปุ่น 51,543 ราย และที่เหลือ 81,941 รายจากนอกญี่ปุ่น (ไต้หวันและไทย) ถูกอัพโหลดขึ้นเว็บไซต์ GitHub จากความผิดพลาดของพนักงานรีเสิร์ช และถูกเข้าถึงไป 11 ครั้ง ก่อนถูกลบ
LINE ออกแถลงการณ์ขออภัย รวมถึงระบุรายละเอียดของข้อมูลและช่วงเวลาที่หลุด ว่าประกอบด้วย วัน เวลา และยอดเงินที่ทำการใช้จ่าย รวมถึงรหัสผู้ใช้และร้านค้า แต่ไม่มีข้อมูลบัญชี เบอร์โทร ที่อยู่ บัตรเครดิต หรือเลขบัญชีธนาคาร รวมถึงแจ้งเวลาที่ลบและแจ้งผู้ใช้ตามขั้นตอน พร้อมระบุว่าจะกำชับและฝึกฝนพนักงานให้เข้มงวดมากขึ้นต่อไป
By: mk on 4 December 2021 - 13:08
Tags:
Topics:
Facebook มีโครงการ Facebook Protect บังคับการล็อกอินแบบ 2FA หากเป็นนักการเมือง คนดัง นักสิทธิมนุษยชน นักข่าว ฯลฯ เพื่อความปลอดภัยจากการโดนแฮ็กบัญชี แต่ก่อนหน้านี้ยังจำกัดการใช้งานเพียงไม่กี่ประเทศเท่านั้น
สัปดาห์ที่แล้ว Facebook ประกาศว่าจะขยายโครงการนี้เพิ่มในอีกกว่า 50 ประเทศภายในปีนี้ แม้ไม่ได้ระบุรายชื่อประเทศทั้งหมด แต่ Facebook ประเทศไทยก็แจ้งข่าวนี้เป็นภาษาไทยด้วย จึงมีโอกาสสูงที่ประเทศไทยจะเข้าข่าย
By: mk on 3 December 2021 - 10:12
Tags:
Topics:
Amazon CodeGuru Reviewer บริการบน AWS ที่ใช้รีวิวคุณภาพของโค้ดที่เขียน เพิ่มฟีเจอร์ Secrets Detector ช่วยตรวจหาว่าโปรแกรมเมอร์เผลอฝังรหัสผ่านหรือคีย์ API/SSH ลงไปในโค้ดหรือไม่
ฟีเจอร์นี้เชื่อมต่อกับ AWS Secrets Manager ซึ่งเป็นบริการจัดการรหัสผ่านและคีย์ของ AWS ที่สามารถช่วยหมุนสลับคีย์ (rotate) ให้เปลี่ยนไปเรื่อยๆ ได้
Amazon บอกว่าฟีเจอร์สแกนคีย์ รู้จักประเภทคีย์ยอดนิยม เช่น Atlassian, GitHub, Mailchimp, Salesforce, SendGrid, Shopify, Slack, Stripe, Tableau, Telegram, Twilio รวมถึงอ่านค่าไฟล์คอนฟิกหลากหลายประเภท เช่น .json, .yml, .yaml, .conf, .ini เป็นต้น
By: lew 
on 3 December 2021 - 09:57
Tags:
Topics:
BadgerDAO บริการ DeFi สำหรับฟาร์มเงิน รายงานว่าเงินผู้ใช้ถูกถอนโดยไม่ได้รับอนุญาต และตอนนี้ยังไม่แน่ชัดว่าคนร้ายถอนเงินออกไปได้อย่างไร หรือมูลค่าเงินที่ถูกขโมยเงินออกไปเป็นมูลค่าเท่าใด แต่บริษัทวิเคราะห์บล็อคเชน PeckShield ออกมารายงานว่ามูลค่ารวมน่าจะอยู่ที่ 2,100 BTC กับอีก 151 ETH รวมมูลค่าประมาณ 120 ล้านดอลลาร์หรือประมาณ 4,000 ล้านบาท
ตอนนี้ทาง BadgerDAO ยังไม่ระบุว่าช่องโหว่ที่คนร้ายโจมตีนั้นใช่ช่องทางใด แต่ทีมงานก็บอกกับผู้ใช้ว่ากำลังสงสัยว่าคนร้ายแฮกมาทางหน้าเว็บ ไม่ใช่ตัว smart contract โดยตรง และตอนนี้กำลังทำงานร่วมกับ Chainslysis เพื่อสอบสวนเหตุการณ์
เทรนด์ปัจจุบันจะเห็นได้ว่า องค์กรต่าง ๆ เริ่มปรับใช้ระบบเฝ้าระวัง (Surveillance) ที่มีความซับซ้อน เพื่อเสริมกำลังให้กับโครงสร้างพื้นฐานด้านไอทีของตน แต่การเลือกระบบที่เหมาะสมและเข้ากันได้กับความต้องการนั้นกลับเป็นเรื่องที่ท้าทายสำหรับธุรกิจ มีหลายปัจจัยที่ต้องนำมาพิจารณา ไม่ว่าจะเป็นข้อจำกัดด้านความเข้ากันได้ของตัวอุปกรณ์ พื้นที่จัดเก็บฟุตเทจ ความสามารถในการจัดการระบบจากที่เดียว ในกรณีที่มีห้างร้านหลายสาขา เป็นต้น
Markets and Markets ผู้วิเคราะห์ตลาดของระบบรักษาความปลอดภัยเชิงพาณิชย์ คาดการณ์ว่าขนาดของตลาดจะสูงถึง 342.6 พันล้านในปี 2026 ซึ่งเติบโตขึ้นถึง 50% อย่างมีนัยสำคัญจากปี 2021 โดยสาเหตุส่วนใหญ่นั้นมาจากอาชญากรรมที่เพิ่มมากขึ้น และความพยายามตามให้ทันกฎหมายกำกับดูแลข้อมูลและความปลอดภัยที่หลาย ๆ ประเทศเริ่มให้ความสำคัญและเสนอเป็นกฎหมายคุ้มครองข้อมูล
NordPass บริษัทพัฒนาแอปช่วยเก็บรหัสผ่าน ออกรายงานประจำปีรหัสผ่านที่มีคนใช้กันมากที่สุด Top 200 Most Common Passwords ของปี 2021 โดย 123456 ยังคงเป็นรหัสผ่านยอดนิยมสูงสุดอีกปี เช่นเดียวกับ 2020, 2019, 2018 (และน่าจะก่อนหน้านั้นด้วย)
ที่มาข้อมูลรหัสผ่านยอดนิยมนั้น NordPass บอกว่าได้ร่วมมือกับทีมงานอิสระ รวมรวมข้อมูลรหัสผ่านที่หลุดออกมาเพื่อใช้ในการจัดอันดับ
หลัง Apple ฟ้อง NSO Group บริษัทอิสราเอลผู้สร้างมัลแวร์ Pegasus และการเจาะช่องโหว่ด้วย FORCEDENTRY พร้อมระบุในแถลงการณ์ ว่า Apple กำลังส่งแจ้งเตือนผู้ใช้ที่บริษัทพบว่าอาจตกเป็นเป้าหมายของ FORCEDENTRY และเมื่อตรวจพบการดำเนินการที่เข้าข่ายว่าเป็นการโจมตีโดยสปายแวร์ที่ได้รับการสนับสนุนจากรัฐ Apple จะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบ
GitHub ออกฟีเจอร์ใหม่ชื่อ Advanced Security Enforcer เป็นสคริปต์เวิร์คโฟลว์ภายใต้ GitHub Actions ที่ช่วยบังคับให้โค้ด repository มีความปลอดภัยสูงขึ้นตั้งแต่แรกเริ่มโครงการ ตามมาตรฐานความปลอดภัยที่ GitHub เตรียมไว้ให้แล้ว
แอปเปิลยื่นฟ้องบริษัท NSO Group ผู้สร้างมัลแวร์ Pegasus ที่สามารถเข้าควบคุมเครื่องเหยื่อได้อย่างสมบูรณ์โดยที่เหยื่อไม่รู้ตัว และสามารถแฮกได้ทั้ง Android และ iOS โดยแอปเปิลนับเป็นบริษัทล่าสุดที่ยื่นฟ้อง หลังจาก WhatsApp ของเฟซบุ๊กฟ้องเป็นบริษัทแรกๆ เมื่อปี 2019 และตามมาด้วยบริษัทไอทีใหญ่ๆ เช่น ไมโครซอฟท์, ซิสโก้, กูเกิล, และเดลล์ เมื่อปลายปี 2020
By: lew on 23 November 2021 - 19:00
Tags:
Topics:
ผู้ใช้ GitHub ชื่อบัญชี plutooo ประกาศความสำเร็จในการดึงกุญแจ TSEC ออกจากซีพียู Tegra ใน Nintendo Switch ซึ่งหากเป็นกุญแจจริงก็น่าจะเปิดทางให้เครื่องรุ่นใหม่ๆ ติดตั้ง Homebrew กันได้อีกครั้ง
plutooo เล่าถึงช่องโหว่ของ Switch ว่าตัวเฟิร์มแวร์ bootloader นั้นมีช่องโหว่จนเปิดทางให้แฮกเกอร์รันโค้ดได้ตามใจชอบ แต่ Nintendo ก็ออกอัพเดต 6.2.0 ในปี 2018 เปลี่ยนเส้นทางการบูต ไปบูตในซีพียู TSEC ที่เป็นซีพียูย่อยอยู่ใน Tegra อีกที โดยซีพียูตัวนี้จะตรวจสอบโค้ดก่อนรัน และสั่งบูตซีพียูหลักอีกครั้งด้วย bootloader ที่ตรวจสอบแล้ว
By: lew on 23 November 2021 - 10:00
Tags:
Topics:
Kraken ศูนย์แลกเปลี่ยนเงินคริปโต สาธิตถึงกระบวนการปลอมลายนิ้วมือเพื่อล็อกอินโทรศัพท์และโน้ตบุ๊กในราคาประหยัด ต้นทุนโดยรวมเพียง 5 ดอลลาร์หรือ 160 บาทเท่านั้น
การสาธิตเริ่มจากเก็บภาพลายนิ้วมือด้วยกล้องโทรศัพท์มือถือธรรมดา โดยไม่ต้องเก็บภาพจากนิ้วมือโดยตรงแต่เก็บจากจุดที่ลายนิ้วมือไปติด เช่น พื้นโต๊ะ จากนั้นอาศัยการแต่งภาพเพื่อปรับภาพให้ชัดขึ้นแล้วพิมพ์ลงบนแผ่นใสด้วยเครื่องพิมพ์เลเซอร์ สุดท้ายคือการทากาวลาเท็กซ์ลงไปบนแผ่นใส รอให้แห้งก็จะได้ลายนิ้วมือปลอมออกมา
By: mk on 23 November 2021 - 09:13
Tags:
GoDaddy เว็บโฮสติ้งรายใหญ่ของโลก แจ้งข้อมูลต่อ ก.ล.ต. สหรัฐ (SEC) ว่าบริษัทโดนเจาะระบบให้บริการโฮสติ้ง WordPress เป็นระยะเวลาประมาณ 2 เดือน กระทบลูกค้าอย่างน้อย 1.2 ล้านราย
รายงานของ GoDaddy บอกว่าเหตุการณ์เจาะระบบเกิดขึ้นเมื่อ 6 กันยายน แต่บริษัทเพิ่งมาพบร่องรอยเมื่อ 17 พฤศจิกายนที่ผ่านมา ระบบที่ได้รับผลกระทบคือส่วน Managed WordPress ที่เป็นบริการรับฝากเว็บที่ใช้ WordPress โดยทีมงานของ GoDaddy ดูแลระบบหลังบ้านให้เสร็จสรรพ (ลักษณะเดียวกับ WordPress.com)
Federal Deposit Insurance Corporation (FDIC) หน่วยงานกำกับดูแลธนาคารสหรัฐฯ ออกกฎบังคับให้ธนาคารต้องแจ้งเหตุความมั่นคงปลอดภัยคอมพิวเตอร์ไปยังหน่วยงานกำกับดูแลภายใน 36 ชั่วโมง
กฎนี้ไม่ได้บังคับให้แจ้งทุกครั้ง แต่บังคับเฉพาะเหตุที่มีความรุนแรงอย่างมีนัยสำคัญ โดยเฉพาะเหตุที่กระทบต่อการให้บริการ หรือเสถียรภาพของระบบการเงิน นอกจากนี้ผู้ให้บริการแทนธนาคาร (bank service provider) ก็จะถูกบังคับให้ต้องแจ้งเหตุความมั่นคงปลอดภัยของระบบคอมพิวเตอร์ไปยังธนาคารเช่นกัน
- Read more about สหรัฐฯ สั่งธนาคารต้องรายงานเหตุถูกแฮกภายใน 36 ชั่วโมง
- 1 comment
- Log in or register to post comments
JFrog บริษัทความปลอดภัยรายงานถึงแพ็กเกจมุ่งร้าย 11 รายการที่อัพโหลดอยู่ใน PyPI โดยตั้งชื่อให้คล้ายกับแพ็กเกจยอดนิยม เพื่อล่อให้โปรแกรมเมอร์ที่พิมพ์ผิดดาวน์โหลดไปใช้งาน
รายชื่อแพ็กเกจที่พบได้แก่ importantpackage, pptest, ipboards, owlmoon, DiscordSafety, trrfab, 10Cent10, yandex-yt, และ yiffparty แต่ละแพ็กเกจมีการดาวน์โหลดหลักร้อยถึงระดับหมื่นครั้ง รวมกว่า 41,000 ครั้ง
Aidan Marlin นักวิจัยด้านความปลอดภัยรายงานว่านักพัฒนาจำนวนเกือบ 4,500 คนอัพโหลดไฟล์ cookie จากเบราว์เซอร์ที่ตัวเองใช้งานอยู่เข้าไปยัง GitHub ส่งผลให้คนร้ายสามารถสวมรอยแทนนักพัฒนาเหล่านี้ไปยังทุกบริการที่ล็อกอินทิ้งไว้ได้
ไฟล์ฐานข้อมูล cookie ในไฟร์ฟอกซ์คือ cookies.sqlite ปกติแล้วจะอยู่ในโฟลเดอร์ของไฟร์ฟอกซ์เอง ไม่แน่ชัดว่าทำไมนักพัฒนาจำนวนหนึ่งจึงอัพโหลดไฟล์เหล่านี้ขึ้น GitHub
By: mk on 18 November 2021 - 09:12
Tags:
Topics:
ความนิยมของแพ็กเกจ npm ในโลก JavaScript กลายเป็นช่องโหว่ด้านความปลอดภัยหลายครั้ง เพราะแฮ็กเกอร์สามารถยึดบัญชีนักพัฒนาแพ็กเกจ npm ชื่อดัง แล้วอัพเดตแพ็กเกจที่ฝังมัลแวร์เพื่อแพร่กระจายในวงกว้างอย่างรวดเร็ว (กรณีของ ua-parser-js และ coa)
GitHub ซึ่งปัจจุบันเป็นเจ้าของบริษัท npm Inc. จึงออกมาประกาศมาตรการความปลอดภัยของ npm เพื่อป้องกันปัญหาเหล่านี้ ได้แก่
การโจมตีแรมแบบ Rowhammer เป็นช่องโหว่ที่ทีม Project Zero ของกูเกิลสาธิตมาตั้งแต่ปี 2015 โดยอาศัยการเปลี่ยนค่าในหน่วยความจำซ้ำๆ จนกระทั่งหน่วยความจำแถว "ข้างๆ" นั้นเปลี่ยนค่าไปด้วย และหลังมีรายงานออกมาผู้ผลิตแรมก็พยายามเพิ่มกระบวนการป้องกันการเปลี่ยนข้อมูลเช่นนี้ ล่าสุดทีมวิจัย COMSEC จากมหาวิทยาลัย ETH Zürich ก็ประสบความสำเร็จในการโจมตีแบบ Blacksmith ที่พัฒนาเทคนิคต่อจาก Rowhammer จนเปลี่ยนค่าในแรมได้แทบทุกยี่ห้อในตลาด
กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯ ประกาศปรับกับกระบวนการจ้างบุคลากรด้านความมั่นคงไซเบอร์ใหม่ทั้งชุด โดยปรับ 3 ด้านจากการจ้างงานราชการอื่นๆ ได้แก่
By: lew on 15 November 2021 - 22:49
Tags:
Topics:
Cloudflare รายงานถึงการโจมตีแบบ DDoS ครั้งใหญ่ที่สุดที่เคยพบเมื่อสัปดาห์ที่ผ่านมา ปริมาณข้อมูลสูงสุดเกือบ 2 เทราบิตต่อวินาที โดยอาศัย botnet จำนวน 15,000 เครื่องที่ส่วนใหญ่เป็นอุปกรณ์ IoT ที่ถูกแฮก รอบนี้พบว่ามีเซิร์ฟเวอร์ GitLab ที่ไม่ได้แพตช์ถูกใช้งานร่วมด้วย
การโจมตีกินเวลาเพียงนาทีเดียวเท่านั้น แต่ก็เป็นสัญญาณว่าแฮกเกอร์สามารถโจมตีรุนแรงขึ้นเรื่อยๆ อย่างต่อเนื่อง เมื่อเดือนตุลาคมที่ผ่านมา Azure ก็เคยรายงานการโจมตีขนาด 2.4 เทราบิตต่อวินาทีมาแล้ว
By: lew on 13 November 2021 - 23:16
Tags:
Topics:
Costco ร้านค้าส่งยอดนิยมในสหรัฐฯ แจ้งเตือนลูกค้าว่ามีข้อมูลรั่วไหล หลังจากตรวจพบว่าเครื่องรับบัตรเครดิตถูกติดตั้งเครื่องขโมยข้อมูลบัตรเครดิต/เดบิต (skimmer) ทำให้คนร้ายอาจจะได้ข้อมูลบัตรของลูกค้าทุกคนที่เคยรูดจ่ายเงินผ่านเครื่องรับบัตรนั้น
ดูเหมือนว่าทาง Costco ยังไม่สามารถยืนยันได้ว่าคนร้ายเคยดึงข้อมูลบัตรออกไปจากเครื่องหรือยัง ประกาศแจ้งเตือนจึงเพียงคาดการณ์ผลกระทบว่าหากคนร้ายดึงข้อมูลออกไปแล้ว จะได้ข้อมูล หมายเลขบัตร, ชื่อ-นามสกุล, วันหมดอายุ, และหมายเลข CVV ในแถบแม่เหล็ก
ทีมวิจัยความปลอดภัยของไมโครซอฟท์รายงานถึงการโจมตีแบบเจาะจงเป้าหมายจากกลุ่มแฮกเกอร์หลายกลุ่มว่าเริ่มใช้เทคนิค HTML smuggling เพื่อเจาะเข้าเครื่องของเหยื่อมากขึ้นเรื่อยๆ โดยอาศัยการหลอกล่อผู้ใช้ให้คลิกหรือเปิดไฟล์หลายครั้งเพื่อหลบหลีกการตรวจสอบของไฟร์วอลล์แบบต่างๆ ที่อาจจะตรวจสอบอีเมลและเนื้อหาในเว็บ
กระบวนการ HTML smuggling อาศัยการส่งอีเมลหาเหยื่อเหมือน phishing ทั่วๆ ไป แต่แทนที่จะหลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์โดยตรงก็อาศัยผู้ใช้ให้ดาวน์โหลดไฟล์จาวาสคริปต์ที่อยู่ในไฟล์ zip มารันในเครื่องตัวเอง แล้วค่อยใช้จาวาสคริปต์นั้นดาวน์โหลดมัลแวร์มายังเครื่องผู้ใช้อีกต่อหนึ่ง
ปัญหาการฝังรหัสผ่านหรือคีย์ไว้ในซอร์สโค้ด ถือเป็นช่องโหว่ความปลอดภัยที่มักพลาดกันบ่อยๆ ทำให้บริการฝากซอร์สโค้ดอย่าง GitHub มีฟีเจอร์ชื่อ Secret Scanning คอยไล่ตรวจว่าในโค้ดมีการฝังคีย์ลักษณะนี้หรือไม่ (บังคับเฉพาะโค้ดแบบ public ส่วนโค้ดแบบ private เป็นฟีเจอร์แบบเสียเงิน และต้องเลือกเปิดเอง)
วิธีการคือ GitHub ร่วมกับบริษัทดังๆ หลายเจ้า เช่น AWS, Azure, Google Cloud, Dropbox, Slack, Stripe, Shopify, Twilio (รายชื่อทั้งหมด) เพื่อตรวจสอบแพทเทิร์นคีย์ของบริษัทเหล่านี้ และแจ้งเตือนบริษัทผู้ออกคีย์ให้ถอนคีย์ออก หากพบว่ามีคีย์ถูกเผยแพร่ในที่สาธารณะ
