Author: admin

บริษัท Atlassian ของออสเตรเลียปล่อยอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่แบบ Zero-day ที่มีความรุนแรงสูงสุดในซอฟต์แวร์ Confluence Data Center and Server ช่องโหว่ CVE-2023-22515 ส่งผลต่อ Confluence Data Center and Server 8.0.0 หรือใหม่กว่า และสามารถโจมตีจากระยะไกลได้ โดยมีความซับซ้อนต่ำจึงไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ ผู้ที่ใช้ Confluence Data Center and Server เวอร์ชันที่มีช่องโหว่ควรอัปเกรดอินสแตนซ์เป็นเวอร์ชันที่ได้รับการแพทช์แล้ว (เช่น 8.3.3 หรือใหม่กว่า 8.4.3 หรือใหม่กว่า 8.5.2 หรือใหม่กว่า) นอกจากการอัปเกรดและการใช้มาตรการบรรเทาผลกระทบแล้ว Atlassian ยังกระตุ้นให้ผู้ใช้ปิดอินสแตนซ์ที่ได้รับผลกระทบหรือแยกอินสแตนซ์เหล่านั้นออกจากการเข้าถึงอินเทอร์เน็ต หากผู้ใช้ไม่สามารถทำการแพตช์ทันทีได้ ผู้ดูแลระบบสามารถลบเวกเตอร์การโจมตีที่เกี่ยวข้องกับช่องโหว่นี้ได้โดยป้องกันการเข้าถึงตำแหน่งข้อมูล /setup/* บนอินสแตนซ์ Confluence สัญญาณที่บ่งบอกถึงการถูกละเมิด มีสมาชิกที่ไม่ทราบตัวตนในกลุ่ม confluence-administrator บัญชีผู้ใช้ที่ถูกสร้างขึ้นใหม่โดยไม่ได้แจ้งให้ทราบ ร้องขอการเข้าถึง /setup/*.action…

สํานักงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ประสานกับหน่วยงานของรัฐบาลกลาง เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่ถูกละเมิด ซึ่งเป็นส่วนหนึ่งของการหาประโยชน์จาก iMessage แบบ Zero-day เพื่อติดกับ iPhone ด้วยสปายแวร์ Pegasus ของ NSO Group  รายการอุปกรณ์ที่ได้รับผลกระทบทั้งรุ่นเก่าและรุ่นใหม่ :  iPhone 8 และใหม่กว่า  iPad Pro (ทุกรุ่น), iPad Air รุ่นที่ 3 หรือใหม่กว่า, iPad รุ่นที่ 5 หรือใหม่กว่า และ iPad mini รุ่นที่ 5 หรือใหม่กว่า  Mac ที่ใช้ macOS Ventura  Apple Watch Series 4 หรือใหม่กว่า  Apple แก้ไข…

Mozilla อัปเดตแพตช์เพื่อแก้ไขช่องโหว่ Zero-day ซึ่งส่งผลกระทบต่อเว็บเบราว์เซอร์ Firefox และไคลเอนต์อีเมล Thunderbird CVE-2023-4863 เป็นช่องโหว่ Buffer Overflow ในไลบรารีโค้ด WebP (libwebp) ซึ่งอาจส่งผลให้เกิดการ Arbitrary Code Execution  Mozilla จัดการกับช่องโหว่ Zero-day ที่ถูกโจมตีใน Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird 115.2.2 โดยการอัปเดตแพตช์  ดังนั้นขอแนะนำให้ผู้ใช้ติดตั้ง Firefox และ Thunderbird เวอร์ชันอัปเดต เพื่อปกป้องระบบของตนจากการโจมตีที่อาจเกิดขึ้น นอกจากนี้ Mozilla เปิดเผยในคำแนะนำในปัจจุบันว่าช่องโหว่ CVE-2023-4863 ยังส่งผลกระทบต่อซอฟต์แวร์อื่นๆ ที่ใช้เวอร์ชันไลบรารีโค้ด WebP ที่มีช่องโหว่ด้วย  โดยทั่วไปการโจมตีเหล่านี้กำหนดเป้าหมายไปยังเหยื่อที่มีความเสี่ยงสูงรวมถึงนักข่าว นักการเมืองฝ่ายค้าน  …

ช่องโหว่นี้ส่งผลกระทบต่อ Cisco BroadWorks Application Delivery Platform และ  Cisco BroadWorks Xending Services Platform ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีสามารถโจมตีด้วยวิธีการ Remote Attackers และ Bypass Authentication  Cisco BroadWorks เป็นแพลตฟอร์มบริการการสื่อสารบนคลาวด์สำหรับธุรกิจและผู้บริโภค   ช่องโหว่ CVE-2023-20238 ส่งผลให้ผู้ไม่ประสงค์ดีสามารถ Execute commands, เข้าถึงข้อมูลที่เป็นความลับ และเปลี่ยนแปลงการตั้งค่าผู้ใช้ได้ นอกจากนี้การใช้ประโยชน์จากช่องโหว่ขึ้นอยู่กับระดับสิทธิ์ของบัญชีปลอมแปลง  ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Application Delivery Platform และ BroadWorks Xened Services Platform หากแอปใดแอปหนึ่งต่อไปนี้เปิดใช้งานอยู่:  AuthenticationService  BWCallCenter  BWReceptionist  CustomMediaFilesRetrieval  ModeratorClientApp  PublicECLQuery  PublicReporting  UCAPI  Xsi-Actions  Xsi-Events …

Microsoft กล่าวว่าผู้ไม่ประสงค์ดี Storm-0558 ขโมย Signing Key เพื่อใช้ในการโจมตีบัญชีอีเมล ของรัฐบาลจาก Windows Crash Dump   ผู้ไม่ประสงค์ดีใช้ MSA key ที่ถูกขโมยไปเพื่อโจมตี Exchange Online และ Azure Active Directory (AD) ขององค์กร รวมถึงหน่วยงานรัฐบาลในสหรัฐอเมริกา เช่น กระทรวงการต่างประเทศและกระทรวงพาณิชย์ของสหรัฐอเมริกา  การโจมตีใช้ประโยชน์จากช่องโหว่ในการตรวจสอบความถูกต้องแบบ Zero-day ที่ถูกอัปเดตแพทช์แล้วใน GetAccessTokenForResourceAPI ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถปลอมแปลง Access Tokens และปลอมแปลงเป็นบัญชีภายในองค์กรเป้าหมายได้  Microsoft ตรวจสอบการโจมตีของ Storm-0558 พบว่า MSA key รั่วไหลไปยัง Crash Dump หลังจากระบบ Consumer Signing เกิดการขัดข้องในเดือนเมษายน 2021  ผู้ไม่ประสงค์ดีพบ key หลังจากโจมตีบัญชีบริษัทของวิศวกร…

นักวิจัยใช้ประโยชน์จากช่องโหว่ในรูปแบบการเข้ารหัสของแรนซัมแวร์ Key Group ในการพัฒนาเครื่องมือถอดรหัสที่ช่วยให้เหยื่อบางรายกู้คืนไฟล์ได้ฟรี  ตัวถอดรหัสนี้สร้างขึ้นโดยผู้เชี่ยวชาญจากบริษัทข่าวกรองภัยคุกคาม EclecticIQ และใช้งานได้กับมัลแวร์เวอร์ชันต่างๆ ที่สร้างขึ้นเมื่อต้นเดือนสิงหาคม นอกจากนี้นักวิจัยกล่าวว่ารหัสผ่านได้มาจากคีย์ที่ใช้ Password-Based Key Derivation Function 2 (PBKDF2) พร้อมกับ Fixed salt  Key Group เป็นกลุ่มผู้ไม่ประสงค์ดีที่มีการเริ่มต้นการโจมองค์กรต่างๆตีเมื่อ ต้นปี 2023 โดยขโมยข้อมูลจากระบบที่ถูกบุกรุก จากนั้นใช้ช่องทาง Telegram ส่วนตัวเพื่อเจรจาการชำระค่าไถ่  Key Group จะลบไฟล์ต้นฉบับจากระบบของเหยื่อหลังจากการเข้ารหัส และเพิ่มนามสกุลไฟล์ .KEYGROUP777TG ให้กับรายการทั้งหมด  ผู้ไม่ประสงค์ดีใช้ไบนารีที่อยู่นอก Windows หรือที่เรียกว่า LOLBins เพื่อลบ Volume Shadow Copy ดังนั้นจึงป้องกันการกู้คืนระบบและข้อมูลโดยไม่ต้องจ่ายค่าไถ่ นอกจากนี้ มัลแวร์ยังเปลี่ยนแปลงที่อยู่โฮสต์ของผลิตภัณฑ์ป้องกันไวรัสที่ทำงานบนระบบที่ถูกบุกรุกเพื่อป้องกันไม่ให้ดึงข้อมูลอัปเดต  วิธีใช้ตัวถอดรหัส  ตัวถอดรหัสแรนซัมแวร์กลุ่ม Key Group เป็นสคริปต์ Python…

กลุ่มผู้ไม่ประสงค์ดีได้อัปโหลดอุปกรณ์ที่เป็นอันตรายไปยัง PyPI (Python Package Index) โดยหนึ่งในนั้นเป็นโมดูลตัวเชื่อมต่อ VMware vSphere ชื่อ vConnector ซึ่งอุปกรณ์ดังกล่าวได้รับการอัปโหลดเมื่อต้นเดือนสิงหาคม โดยหนึ่งในนั้นชื่อ VMConnect และมีการกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านไอทีที่กำลังมองหาเครื่องมือการจำลองเสมือน VMConnect (ดาวน์โหลด 237 ครั้ง) และยังมีการดาวน์โหลดอีกสองอุปกรณ์ที่มีรหัสเดียวกันซึ่งเผยแพร่ด้วยชื่อ ethter และ quantiumbase อุปกรณ์เพิ่มเติมที่เป็นส่วนหนึ่งของ VMConnect เดียวกัน ได้แก่ tablediter (ดาวน์โหลด 736 ครั้ง), request-plus (ดาวน์โหลด 43 ครั้ง) และ requestspro (ดาวน์โหลด 341 ครั้ง) ซึ่งอุปกรณ์แรกจะเป็นเครื่องมือที่ใช้ในการช่วยแก้ไขตาราง และอีกสองอุปกรณ์จะปลอมแปลงเป็น Python ที่ใช้สำหรับสร้างคำขอ HTTP โดยอุปกรณ์ที่ปลอมแปลงจะมีโครงสร้างไฟล์และเนื้อหาที่แตกต่างกับต้นฉบับน้อยที่สุด โดยการแก้ไขส่วนใหญ่จะเกี่ยวข้องกับไฟล์ init.py ซึ่งจะเรียกใช้ฟังก์ชันที่เป็นอันตรายจาก cookies.py  การค้นพบไฟล์…

หน่วยงานกำกับดูแลทางการเงินของรัฐบาลกลางเยอรมัน (BaFin) ถูกโจมตีแบบ DDoS อย่างต่อเนื่อง และส่งผลกระทบต่อเว็บไซต์ของหน่วยงาน ซึ่ง BaFin หน่วยงานกำกับดูแลทางการเงินของเยอรมนี เป็นส่วนหนึ่งของกระทรวงการคลัง มีหน้าที่รับผิดชอบในการกำกับดูแลธนาคาร 2,700 แห่ง ผู้ให้บริการทางการเงิน 800 แห่ง และผู้ให้บริการประกันภัย 700 แห่ง หน่วยงานกํากับดูแลเป็นที่รู้จักจากบทบาทการบังคับใช้กฎหมายในเยอรมนี และต่างประเทศ ในช่วงไม่กี่ปีที่ผ่านมาได้มีการกําหนดค่าปรับ 10 ล้านดอลลาร์ และ 5 ล้านดอลลาร์กับ Deutsche Bank และ Bank of America ตามลําดับสําหรับการละเมิดต่างๆ  หน่วยงานของเยอรมันแจ้งว่าได้ใช้มาตรการป้องกันด้านความปลอดภัย และมาตรการป้องกันที่เหมาะสมทั้งหมดเพื่อปกป้องการถูกโจมตีจากผู้ไม่ประสงค์ดี ส่วนหนึ่งของมาตรการคือ การนําเว็บไซต์สาธารณะของ BaFin ไปที่ bafin.de และองค์กรยังมั่นใจว่าระบบอื่น ๆ ทั้งหมดซึ่งมีความสําคัญจะยังสามารถทํางานได้โดยไม่มีข้อจํากัด แม้ว่าผู้ใช้บางคนอาจสามารถเข้าถึงเว็บไซต์ของ BaFin ได้เป็นระยะ ๆ แต่ส่วนใหญ่จะยังไม่สามารถเข้าใช้งานได้ BaFin…

Leaseweb หนึ่งในผู้ให้บริการคลาวด์และโฮสติ้งที่ใหญ่ที่สุดในโลก ได้แจ้งให้ผู้ใช้ทราบว่ากำลังดำเนินการกู้คืนระบบที่ถูกปิดใช้งานหลังจากมีการละเมิดความปลอดภัย ซึ่งในอีเมลที่ส่งถึงลูกค้าเมื่อวันพฤหัสบดี ผู้ให้บริการคลาวด์กล่าวว่าได้ค้นพบสัญญาณของความผิดปกติในบางส่วนของโครงสร้างพื้นฐาน ขณะที่กำลังมีการตรวจสอบปัญหาการหยุดทำงานของพอร์ทัลลูกค้า  Leaseweb ทำการลบระบบที่ได้รับผลกระทบบางส่วนออก เพื่อลดความเสี่ยงด้านความปลอดภัย และกล่าวว่าขณะนี้ทีมงานกำลังทำงานเพื่อกู้คืนระบบที่ได้รับผลกระทบจากเหตุการณ์นี้ หลังจากเหตุการณ์นี้ Leaseweb ได้ว่าจ้างบริการรักษาความปลอดภัยทางไซเบอร์ Digital Forensics and Incident Response (DFIR) เพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยและควบคุมการโจมตี “เพื่อให้แน่ใจว่าบริการของ Leaseweb ปลอดภัยและเชื่อถือได้ จึงได้จัดทำแผนการป้องกันที่แข็งแกร่งและร่วมมืออย่างใกล้ชิดกับบริษัทรักษาความปลอดภัยทางไซเบอร์ที่น่าเชื่อถือ” Leaseweb กล่าวเสริม  Ref: https://www.bleepingcomputer.com/news/security/leaseweb-is-restoring-critical-systems-after-security-breach/