Campari Group บริษัทผู้ผลิตเครื่องดื่มในอิตาลีถูกมัลแวร์เข้ารหัสเรียกค่าไถ่ของกลุ่ม Ragnar Locker Team โจมตีตั้งแต่วันที่ 1 พฤศจิกายนที่ผ่านมา แต่หลังจากปิดระบบไอทีเพื่อรับมือ ก็เริ่มมีผู้ใช้เฟซบุ๊กรายงานว่าเห็นโฆษณาประจานทาง Campari ว่าถูกแฮกข้อมูลออกไป

ก่อนหน้านี้ Campari เคยแถลงว่ายังไม่สามารถยืนยันได้ว่ามีข้อมูลหลุดออกไปจากบริษัทขณะที่ถูกมัลแวร์โจมตีจริงหรือไม่ แต่โฆษณาจากแฮกเกอร์กลับระบุว่าบริษัทโกหกและข้อมูลมากกว่า 2TB ถูกขโมยออกไปแล้วแน่นอน พร้อมกับเรียกร้องให้ Campari ยอมจ่ายค่าไถ่เสีย ไม่เช่นนั้นจะเปิดเผยไฟล์ออกมา

Google กำลังทดสอบการเข้ารหัสไฟล์ที่เก็บแบบออฟไลน์บน Google Drive ในแอนดรอยด์ หลังจากทาง XDA พบ string ที่เกี่ยวกับฟีเจอร์นี้บนไฟล์ apk รวมถึงมีมีนักพัฒนาโพสต์ภาพสกรีนช็อตจาก Google Drive ยืนยันฟีเจอร์นี้

ตัวเลือก Encryption จะอยู่ด้านล่างในหน้า Settings ของ Google Drive เมื่อเปิดแล้ว Google Drive จะแจ้งว่าจำเป็นต้องลบไฟล์ที่เก็บเอาไว้ในเครื่อง (เปิดแบบออฟไลน์ได้) ทั้งหมด ขณะที่ไฟล์เหล่านี้จะมีสัญลักษณ์กุญแจปรากฎขึ้นมาให้เห็นด้วยว่ามีการเข้ารหัส

ที่มา - XDA

Let's Encrypt ผู้ให้บริการออกใบรับรองเว็บฟรีประกาศว่าตั้งแต่ 1 กันยายน 2021 เป็นต้นไปใบรับรองของ Let's Encrypt จะไม่ได้รับการ cross-sign โดย IdenTrust อีกแล้ว ทำให้เบราว์เซอร์เก่าที่ไม่ได้ใส่ใบรับรอง ISRG Root X1 เอาไว้ในระบบจะมองว่าใบรับรองจาก Let's Encrypt ไม่น่าเชื่อถืออีกต่อไป

การเปลี่ยนเส้นทางใบรับรองเช่นนี้มีผลกระทบต่อระบบปฎิบัติการเก่าๆ มาเสมอ แต่รอบนี้จุดน่ากังวลที่สุดคือแอนดรอยด์ที่ยังมีการใช้งานเวอร์ชั่นเก่าอยู่ในระดับสูงมาก โดยแอนดรอยด์ใส่ใบรับรอง ISRG Root X1 ตั้งแต่เวอร์ชั่น 7.1.1 เป็นต้นมา แต่สถิติล่าสุดของกูเกิลก็แสดงว่ามีผู้ใช้ที่รันแอนดรอยด์เวอร์ชั่นเก่ากว่านั้นถึง 33.8% ซึ่งคาดว่าจะกระทบกับเว็บทั่วไปคิดเป็นทราฟิก 1-5%

ซิสโก้ออกประกาศแจ้งเตือนช่องโหว่ CVE-2020-3556 ของโปรแกรม AnyConnect Secure Mobility เวอร์ชั่นเดสก์ทอปทั้งวินโดวส์, ลินุกซ์, และแมค โดยช่องโหว่ยังไม่มีแพตช์แต่ทางซิสโก้แจ้งเตือนออกมาเนื่องจากมีโค้ดตัวอย่างออกมาสู่สาธารณะแล้ว

ช่องโหว่เกิดจากการเชื่อมต่อระหว่างโปรเซส (interprocess communication) ที่คนร้ายที่รันโปรแกรมบนเครื่องอยู่แล้วสามารถยิงข้อมูลที่ออกแบบเฉพาะเข้าไปยัง AnyConnect เพื่อรันสคริปต์ได้

ตอนนี้ยังไม่มีแพตช์และช่องทางแก้ไข แต่ซิสโก้แนะนำแนวทางลดความเสี่ยง เช่น การปิดฟีเจอร์ AutoUpdate และปิดคอนฟิก Enable Scripting จะช่วยลดโอกาสการโจมตี นอกจากนี้หากองค์กรมีการควบคุมการติดตั้งซอฟต์แวร์ลงบนเครื่องให้จำกัดเฉพาะซอฟต์แวร์ที่น่าเชื่อถือก็ลดความเสี่ยงได้

Project Zero รายงานถึงช่องโหว่ของฟีเจอร์ GitHub Action ที่มีฟีเจอร์ Workflow เปิดให้ runner รับคำสั่งเพิ่มเติมจากเอาท์พุตของโปรแกรมใดๆ ใน Action เปิดทางให้แฮกเกอร์ใส่เอาท์พุตมุ่งร้ายได้

แม้ว่า Workflow จะรับคำสั่งได้จำกัด แต่มีสองคำสั่งได้แก่ add-path และ set-env ที่สามารถแก้ไขค่าตัวแปร environment ได้ ทำให้คนร้ายแก้ไขค่าตัวแปรเพื่อโจมตีสคริปต์ใน Action ได้

Samy Kamkar นักวิจัยความปลอดภัยรายงานถึงช่องโหว่ Slipstreaming ที่อาศัยการรันจาวาสคริปต์บนเบราว์เซอร์ของเหยื่อที่อยู่หลัง NAT จนเปิดทางให้แฮกเกอร์สามารถเข้าถึงทุกพอร์ตบนเครื่องเหยื่อได้ ขอเพียงเหยื่อเข้าเว็บของคนร้ายเท่านั้น

โดยปกติแล้ว NAT ไม่ใช่อุปกรณ์ป้องกันภัยไซเบอร์โดยตัวเอง แต่เนื่องจากการทำงานของ NAT จำกัดการเชื่อมต่อจากโลกภายนอกเข้าไปยังเน็ตเวิร์คภายในได้ ทำให้องค์กรจำนวนมากอาศัย NAT เป็นเครื่องมือรักษาความปลอดภัยเครือข่ายไปในตัว

Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง

กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ

US-CERT ออกรายงานแจ้งเตือนว่ากลุ่มคนร้ายที่อยู่เบื้องหลังมัลแวร์ Trickbot กำลังไล่โจมตีโรงพยาบาลและสถานพยาบาลอื่นด้วยมัลแวร์เรียกค่าไถ่ Ryuk โดยล่าสุดพบว่ากลุ่มแฮกเกอร์นี้พัฒนา Anchor_DNS เครื่องมือสร้าง tunel ขโมยข้อมูลออกโลกภายนอกด้วย DNS

ทาง CNN อ้างเจ้าหน้าที่ในรัฐบาลโดยไม่เปิดเผยชื่อ ระบุว่ามีโรงพยาบาลหลายแห่งถูกโจมตีในช่วงสองวันที่ผ่านมา และทาง FBI กำลังเข้าไปสอบสวนเรื่องนี้ โดยก่อนหน้านี้กลุ่มโรงพยาบาล Universal Health Services ก็ถูกโจมตีไปก่อนแล้ว และตอนนี้กลุ่มโรงพยาบาล St. Lawrence Health Systems และศูนย์การแพทย์ Sky Lakes ก็เพิ่งถูกโจมตีไป

ซิสโก้เปิดตัว SecureX แพลตฟอร์มความมั่นคงปลอดภัยไซเบอร์ตั้งแต่กลางปีที่ผ่านมา ในงาน Partner Summit ปีนี้บริษัทก็ประกาศขยายความสามารถพร้อมกับอินทิเกรตกับสินค้าตัวอื่นๆ ของซิสโก้เอง ได้แก่ ระบบยืนยันตัวตน Duo, Cisco Secure Cloud Analytics, Cisco SD-WAN, และ Secure VPN

ความสามารถของตัว SecureX เองเพิ่มฟีเจอร์ Extended Detection and Response (XDR) รองรับ workflow สำหรับตอบสนองต่อเหตุการณ์ความมั่นคงปลอดภัยเน็ตเวิร์คได้ในตัว โดยมี workflow สำเร็จรูปมาแล้วบางส่วน และสามารถสร้างใหม่ได้ด้วยหน้าจอแบบ drag-and-drop ไม่ต้องเขียนโค้ด

FBI ออกหนังสือเวียนแจ้งเตือนว่าคนร้ายกำลังไล่สแกนหา SonarQube อย่างต่อเนื่องจนสามารถเข้าถึงซอร์สโต้ดขององค์กรรัฐและเอกชนได้แล้วหลายแห่ง โดย FBI เริ่มพบคดีซอร์สโค้ดหลุดตั้งแต่เดือนเมษายนที่ผ่านมา และมีการนำซอร์สโค้ดมาเปิดเผยต่อสาธารณะเมื่อเดือนสิงหาคมจนทาง SonarQube ต้องออกมาแจ้งเตือน

SonarQube เป็นซอร์ฟแวร์สแกนหาช่องโหว่ความปลอดภัยแบบโอเพนซอร์สที่ได้รับความนิยมสูงขึ้นในช่วงหลัง ตัวเซิร์ฟเวอร์ SonarQube จะเก็บซอร์สโค้ดทั้งหมดของโครงการที่มันสแกนเอาไว้ หาก SonarQube ถูกเจาะจึงเท่ากับคนร้ายเห็นซอร์สโค้ดทั้งโครงการ

ปัจจุบันน่าจะแทบทุกแอปแชทที่มีฟีเจอร์แสดงพรีวิวของลิงก์ที่สูงส่งผ่านแชท เช่นรูป, พาดหัว, ข้อมูลเบื้องต้น ในแง่นึงก็ถือว่าค่อนข้างสะดวก แต่นักวิจัย 2 คนที่ชื่อ Talal Haj Bakry และ Tommy Mysk ออกรายงานการค้นพบที่ชี้ว่า ฟีเจอร์พรีวิวลิงก์ของหลายแอปแชท ส่งผลลบมากกว่าผลบวก

National Security Agency หรือ NSA หน่วยงานด้านความมั่นคงของรัฐบาลสหรัฐ ออกรายงานรวมช่องโหว่ยอดนิยม 25 รายการ ที่มีข้อมูลว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน (Chinese state-sponsored cyber actors) ชอบใช้งาน

ซอฟต์แวร์ที่มีช่องโหว่เหล่านี้มาจากหลากหลายบริษัท เช่น Pulse Secure VPN, F5 BIG-IP proxy, Citrix ADC, MobileIron, Adobe ColdFusion, Oracle WebLogic, Oracle Coherence, Atlassian Confluence 17, Zoho, Symantec Messaging Gateway, Cisco IOS XR รวมถึงช่องโหว่ของไมโครซอฟท์หลายตัว (ทั้ง Windows, Exchange) ตรวจสอบรายชื่อทั้งหมดได้จากที่มา

การเข้ารหัสเว็บได้รับความนิยมเพิ่มขึ้นมาในช่วงหลัง ทำให้หลายคนอาจจะมีเหตุผลให้ต้องใช้บริการ VPN น้อยลงกว่าแต่ก่อน โดยหลายคนอาจจะใช้ VPN เพื่อเพิ่มความเป็นส่วนตัวทำให้ผู้ให้บริการอินเทอร์เน็ต (ซึ่งเป็นหน่วยงานในไทย) มองไม่เห็นว่าเรากำลังใช้งานอะไรอยู่บ้าง หรือต้องการเข้าถึงคอนเทนต์บางส่วนที่หลายครั้งเข้าจากประเทศไทยไม่ได้ เช่นการชมวิดีโอที่ล็อกตามไอพีที่ใช้งาน

หลังเงียบหายไปตั้งแต่เดือนมิถุนายนที่บอกจะเริ่มทดสอบการเข้ารหัส end-to-end ล่าสุด Zoom ประกาศเริ่มใช้งานการเข้ารหัสแบบ end-to-end แล้วทั้งผู้ใช้ฟรีและเสียเงินในแบบพรีวิว คือรับฟีดแบ็คจากผู้ใช้เป็นเวลา 30 วัน

Zoom บอกว่าการใช้การเข้ารหัส end-to-end จะแบ่งเป็น 4 เฟสและครั้งนี้คือเฟสแรก โดยใช้การเข้ารหัสแบบ AES 256-bit GCM และหากการประชุมใช้การเข้ารหัสแบบนี้ จะมีสัญลักษณ์โล่สีเขียวพร้อมกุญแจอยู่ที่ซ้ายบนของจอ

การเข้ารหัส end-to-end จะเริ่มปล่อยพรีวิวสัปดาห์หน้า แต่ผู้ใช้งานหรือโฮสต์จะเปิดใช้งาน end-to-end ทั้งแอคเคาท์ตัวเองและเลือกเวลาสร้างห้องประชุม (จะมีตัวเลือก enhanced encryption และ end-to-end encryption)

Cloudflare รวมชุดสินค้าและบริการสำหรับองค์กรนอกเหนือจาก CDN มาเป็นชุดความปลอดภัยเน็ตเวิร์ค ใช้ชื่อ Cloudflare One รวบทราฟิกเข้าไปอยู่กับ Cloudflare ควบคุมการใช้งานตามโมเดลความปลอดภัย secure access service edge (SASE)

ที่ผ่านมา Cloudflare มีบริการด้านเครือข่ายสำหรับองค์กรที่ไม่ใช่ CDN อยู่หลายตัว เช่น WARP สำหรับบริการ VPN, บริการเชื่อมต่อศูนย์ข้อมูล การประกาศครั้งนี้บริษัทระบุว่าจะมีบริการชุดใหม่ ได้แก่ Magic WAN ให้องค์กรใช้งานแทน SD-WAN, Magic Firewall ดูแลทราฟิกขาออกไปยังอินเทอร์เน็ต ในฟีเจอร์เดิมจะปรับปรุงหน้าจอวิเคราะห์เน็ตเวิร์ค และเพิ่มฟีเจอร์ IDS

ไมโครซอฟท์รายงานถึงการต่อสู้กับกลุ่มให้บริการมัลแวร์ (malware-as-a-service) ที่ชื่อกลุ่มว่า Trickbot โดยไมโครซอฟท์ได้ตรวจตัวอย่างมัลแวร์ในกลุ่มถึง 61,000 ตัวอย่าง เพื่อหาไอพีของเซิร์ฟเวอร์สั่งการ (command and control) และจัดการระงับการใช้งานไอพีเหล่านั้นจนกระทั่งมัลแวร์หยุดทำงานไป แม้จะคาดได้ว่ากลุ่มคนร้ายคงหาเซิร์ฟเวอร์ใหม่เพื่อเปิดบริการอีกครั้งในอนาคต

Five Eyes ภาคีด้านหน่วยข่าวกรองของ 5 ประเทศได้แก่ออสเตรเลีย, แคนาดา, นิวซีแลนด์, สหราชอาณาจักรและสหรัฐอเมริกา ร่วมกับหน่วยข่าวกรองอีก 2 ประเทศคือญี่ปุ่นและอินเดีย ส่งจดหมายเปิดผนึก เรียกร้องให้ใช้เทคโนโลยีเข้ารหัสแบบ end-to-end ที่มีช่องทางให้ภาครัฐเข้าถึงได้แบบถูกกฎหมาย เพื่อความปลอดภัยของสาธารณะ แต่ก็ยังคงรักษาความเป็นส่วนตัวอยู่

ภาคีเน้นย้ำถึงความสำคัญและสนับสนุนการเข้ารหัสที่เข้มแข็ง ทั้งในแง่ความปลอดภัย ความเป็นส่วนตัว ความปลอดภัยไซเบอร์ การรักษาความลับต่าง ๆ ไปจนถึงประเด็นการเมืองอย่างการปกปิดตัวตนของนักข่าวหรือเรื่องปกป้องสิทธิมนุษยชน

FBI ออกประกาศเตือนชาวอเมริกันเรื่องการใช้เครือข่ายไร้สายในโรงแรมสำหรับการทำงานระยะไกลว่า Wi-Fi โรงแรมมีความเสี่ยงด้านความปลอดภัยในการใช้งานสูงกว่า Wi-Fi ในบ้านมาก

ตั้งแต่สถานการณ์ COVID-19 ที่หลายพื้นที่ต้องล็อกดาวน์เมืองและประกาศมาตรการเว้นระยะห่างและลดความหนาแน่นของประชากรทำให้พนักงานออฟฟิศหลายคนต้องหาที่ทำงานนอกออฟฟิศ ช่วงแรกหลายคนอาจเลือกทำงานที่บ้าน แต่หลังจากหลายประเทศคลายล็อกดาวน์แล้วพนักงานออฟฟิศอาจเริ่มหาที่ทำงานใหม่ ประกอบกับช่วงนี้โรงแรมกำลังขาดนักท่องเที่ยวจึงนิยมออกแพคเกจใช้ห้องในเวลากลางวันเพื่อดึงดูดผู้ที่ต้องการหาที่ทำงานที่เงียบสงบ ทำให้เทรนด์การทำงานช่วงนี้เริ่มหันไปหาโรงแรมมากขึ้น

กูเกิลประกาศเพิ่มวิธีแจ้งเตือนปัญหาความปลอดภัยของ Google Account ใหม่ จากเดิมที่เตือนทางอีเมล (ที่คนไม่อ่าน) หรือทางระบบแจ้งเตือนบนมือถือ (ที่คนก็อาจจะไม่อ่าน) มาเป็นการแสดงข้อความเตือนในแอพของกูเกิล ที่ผู้ใช้เปิดใช้งานอยู่ในตอนนั้น

ตัวอย่างที่กูเกิลนำมาโชว์คือ ผู้ใช้อ่านเมลใน Gmail อยู่ หากบัญชีมีปัญหาความปลอดภัยขึ้นมา เช่น มีคนล็อกอินบัญชีของเราจากที่อื่น กูเกิลจะแสดงไอคอนตกใจสีแดงที่มุมขวาบนของหน้าจอ เมื่อกดแล้วจะเห็นรายละเอียดว่าแจ้งเตือนอะไรบ้าง

กูเกิลบอกว่าจะเริ่มแจ้งเตือนผ่านวิธีนี้ในอีกไม่กี่สัปดาห์ข้างหน้า และเริ่มขยายในวงกว้างช่วงต้นปีหน้า

Cloudflare เปิดบริการ API Shied สำหรับปกป้องเซิร์ฟเวอร์ที่ให้บริการ API ซึ่งกลายเป็นเป้าการโจมตีมากขึ้นเรื่อยๆ ในช่วงหลัง โดยเฉพาะบน Cloudflare เองก็มีปริมาณ request ครึ่งหนึ่งเป็น API request โดยบริการแบ่งออกเป็นสองส่วน คือการออกใบรับรองเข้ารหัสสำหรับไคลเอนต์ และการตรวจสอบ schema ข้อมูล

การตรวจสอบใบรับรองเข้ารหัสด้วยการเชื่อมต่อแบบ mutual TLS เป็นการยืนยันตัวตนที่ได้รับความนิยมในกลุ่ม IoT โดยไคลเอนต์จะมีใบรับรองของตัวเองเพื่อเชื่อมต่อเข้าเซิร์ฟเวอร์ บริการ API Shield ปรับลดกระบวนการขอใบรับรองสำหรับไคลเอนต์จาก Cloudflare ให้เหลือไม่กี่คลิกเท่านั้น

GitHub เปิดบริการ Code scanning สำหรับการตรวจสอบความปลอดภัยโค้ดไปตั้งแต่เดือนพฤษภาคมที่ผ่านมา แต่ตอนเปิดตัวยังเป็นเบต้าวงปิด และตอนนี้ก็เปิดให้ทุกคนที่มี repository สาธารณะใช้งานแล้ว

เอนจินหลักของ Code scanning คือ CodeQL และในการเปิดบริการเป็นทางการครั้งนี้ GitHub ก็เปิดบริการเชื่อมต่อกับบริการสแกนโค้ดภายนอก เนื่องจากองค์กรจำนวนมากต้องใช้เครื่องมือเฉพาะทาง ไม่ว่าจะเป็นโครงการเดิมที่เคยใช้เครื่องมือเดิมมาก่อน, โค้ดเฉพาะด้านมากๆ เช่น โค้ดสำหรับเมนเฟรม, หรือต้องการรายงานเฉพาะด้าน

กูเกิลเพิ่มความปลอดภัยรหัสผ่านใน Chrome เวอร์ชั่นโทรศัพท์มือถือ โดยมีฟีเจอร์สำคัญคือการแจ้งเตือนผู้ใช้เมื่อกำลังใช้งานรหัสผ่านที่เคยหลุดออกสู่สาธารณะมาก่อน และยังนำผู้ใช้ไปยังหน้าเปลี่ยนรหัสผ่านโดยอัตโนมัติ

ฟีเจอร์ใหม่บน iOS/Android คือการรองรับ Enhanced Safe Browsing ที่ตัวเบราว์เซอร์จะส่งข้อมูลกลับไปยังบริการ Safe Browsing เพื่อเช็คว่าเว็บที่กำลังเข้ามีความเสี่ยงหรือไม่ ฟีเจอร์นี้มีบน Chrome เวอร์ชั่นเดสก์ทอปมาก่อนแล้ว โดยกูเกิลระบุว่าผู้ใช้ที่เปิดใช้งานมีอัตราการพิมพ์รหัสผ่านลงเว็บฟิชชิ่งลดลง 20%

กูเกิลปล่อยแพตช์ความปลอดภัย Android ประจำรอบเดือนตุลาคม 2020 อุดช่องโหว่ความปลอดภัยจำนวนมาก โดยมีช่องโหว่ระดับ critical จำนวน 6 ตัว ทั้งหมดเป็นแพตช์ของ Qualcomm

มือถือกลุ่ม Pixel ทั้งหมดตั้งแต่ Pixel 2 ขึ้นไปได้อัพเดตกันตามปกติ แต่ที่ไม่ธรรมดาคือ ซัมซุงที่ช่วงหลังออกแพตช์เร็วขึ้นมากๆ ก็ออกแพตช์ในวันแรกเช่นกัน โดยมือถือระดับเรือธง S10/S20/Note 10/Note 20 เริ่มทยอยได้แพตช์กันแล้วในบางประเทศ และมือถือระดับกลางอย่าง Galaxy A50 ก็ได้แพตช์รอบเดือนตุลาคมเรียบร้อยแล้วเช่นกัน

ที่มา - Android Security, XDA

ประเด็นเรื่องความปลอดภัยจากส่วนขยายของเบราว์เซอร์ เป็นปัญหามายาวนาน และเราก็เห็นข่าวเบราว์เซอร์รายใหญ่ๆ อย่าง Chrome หรือ Firefox ออกมาตรการคุมเข้มส่วนขยายในแพลตฟอร์มตัวเองมาเรื่อยๆ

ล่าสุด Firefox เพิ่มมาตรการใหม่คือแปะป้ายหรือ badge เพื่อสร้างความน่าเชื่อถือให้กับส่วนขยายบน Firefox Add-ons ทั้งบนหน้าเว็บและหน้าจัดการส่วนขยายของเบราว์เซอร์ ป้ายรับรองที่เพิ่มเข้ามามี 2 แบบคือ