Author: admin

Juniper Firewall

การใช้ประโยชน์จากข้อบกพร่องของ Juniper Firewall ทำให้เกิดการโจมตี RCE 

0 CommentsNews
รหัสช่องโหว่ Proof-of-concept ได้รับการเผยแพร่ต่อสาธารณะสําหรับช่องโหว่ในไฟร์วอลล์ Juniper SRX ซึ่งเมื่อเชื่อมต่อแล้ว จะสามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดำเนินการเรียกใช้โค้ดจากระยะไกลใน JunOS ของ Juniper บนอุปกรณ์ที่ไม่ได้แพตช์ได้ Juniper ได้เปิดเผย ช่องโหว่ที่ความรุนแรงปานกลางสี่ตัวในสวิตช์ EX และไฟร์วอลล์ SRX และเปิดตัวแพตช์ความปลอดภัย ด้วยคําขอเฉพาะที่ไม่ต้องการการตรวจสอบสิทธิ์ ผู้ไม่ประสงค์ดีจึงสามารถอัปโหลดไฟล์ได้โดยไม่ต้องได้รับอนุญาตผ่าน  J-Web โดยจะส่งผลกระทบต่อความสมบูรณ์ของระบบไฟล์ ซึ่งอาจอนุญาตให้มีการเชื่อมต่อกับช่องโหว่อื่นๆ และทำการรันโค้ดบนอุปกรณ์จากระยะไกลได้   ผู้ดูแลระบบจะได้รับการกระตุ้นให้ใช้แพตช์ของ Juniper หรืออัปเกรด JunOS เป็นรุ่นล่าสุด หรือ อย่างน้อยควรใช้มาตรการบรรเทาผลกระทบที่แนะนําโดยผู้ขายโดยเร็วที่สุด โดยผู้ใช้งานอุปกรณ์ที่ได้รับผลกระทบจะถูกกระตุ้นให้อัปเดตเป็นเวอร์ชันที่แพตช์แล้วโดยเร็วที่สุด และ/หรือ ปิดใช้งานการเข้าถึงอินเทอร์เฟซ J-Web หากเป็นไปได้  ในเดือนมิถุนายน CISA ได้ออกคําสั่งปฏิบัติการที่มีผลผูกพัน (BOD) ฉบับแรกของปี โดยสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รักษาความปลอดภัยของอุปกรณ์เครือข่ายที่มีการเปิดเผยทางอินเทอร์เน็ต หรือ กําหนดค่าผิดพลาด เช่น ไฟร์วอลล์ของ Juniper และอุปกรณ์สวิตช์ภายในสองสัปดาห์หลังจากการค้นพบ  Ref: https://www.bleepingcomputer.com/news/security/exploit-released-for-juniper-firewall-bugs-allowing-rce-attacks/ 
Read More
DreamBus

มัลแวร์ DreamBus ใช้ประโยชน์จากช่องโหว่ของ RocketMQ เพื่อทำให้เซิร์ฟเวอร์ติดไวรัส 

0 CommentsNews
มัลแวร์ DreamBus botnet เวอร์ชันใหม่ใช้ประโยชน์จากช่องโหว่ Remote Code Execution  ในเซิร์ฟเวอร์ RocketMQ เพื่อแพร่ไวรัสไปยังอุปกรณ์  CVE-2023-33246 เป็นช่องโหว่การตรวจสอบสิทธิ์ที่ส่งผลกระทบต่อ RocketMQ เวอร์ชัน 5.1.0 และ เก่ากว่าทำให้ผู้ไม่ประสงค์ดีสามารถ Remote Command Execution ได้  Juniper Threat Labs กล่าวว่า พบการโจมตี DreamBus ครั้งแรกที่ใช้ประโยชน์จากช่องโหว่  CVE-2023-33246 ในต้นเดือนมิถุนายน 2023 โดยกำหนดเป้าหมายไปที่พอร์ตเริ่มต้น 10911 ของ RocketMQ และพอร์ตอื่นๆ อีก 7 พอร์ต  ผู้ไม่ประสงค์ดีใช้เครื่องมือ ‘interactsh’ open-source เพื่อระบุเวอร์ชันซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์และทำการหาช่องโหว่ที่อาจใช้ประโยชน์ได้  นักวิจัยยังพบผู้ไม่ประสงค์ดีดาวน์โหลด Bash Script ชื่อ ‘reketed’ จาก Tor Proxy…
Read More
CVE-2023-38831 Zero-day ของ WinRar

พบการโจมตีที่ใช้ช่องโหว่ Zero-day ใน WinRAR เพื่อขโมยบัญชีซื้อขาย 

0 CommentsNews
CVE-2023-38831 เป็นช่องโหว่แบบ Zero-day ของ WinRar ซึ่งถูกใช้ในการติดตั้งมัลแวร์โดยสามารถสร้างไฟล์ .RAR และ .ZIP ที่เป็นอันตราย เช่น รูปภาพ JPG (.jpg) ไฟล์ข้อความ (.txt) หรือเอกสาร PDF (.pdf) จากนั้นเมื่อคลิกเปิดไฟล์ผู้ไม่ประสงค์ดีสามารถขโมย Accounts ของ Online Cryptocurrency trading ได้   ช่องโหว่นี้ถูกพบตั้งแต่เดือนเมษายน 2566 ซึ่งช่วยกระจายมัลแวร์ต่างๆ รวมถึง DarkMe, GuLoader และ Remcos RAT  นักวิจัยจาก Group-IB กล่าวว่าพบ WinRAR Zero-day ที่ใช้ในการกำหนดเป้าหมายไปยัง Cryptocurrency และฟอรัมการซื้อขายหุ้น   โพสต์ในฟอรัมเหล่านี้มีลิงก์ไปยังไฟล์ WinRAR ZIP หรือ RAR ที่สร้างขึ้นเป็นพิเศษซึ่งแฝงตัวเป็น ผู้รวมกลยุทธ์การซื้อขาย ซึ่งข้อมูลประกอบด้วย…
Read More
Ivanti

Ivanti ได้ออกมาเตือนถึงช่องโหว่ Zero-Day ที่ถูกนำไปใช้ประโยชน์ในซอฟต์แวร์ Sentry 

0 CommentsNews
Ivanti ได้ออกมาเตือนถึงช่องโหว่ Zero-Day ใหม่ (CVE-2023-38035) ที่ส่งผลกระทบต่อ Ivanti Sentry และยังถูกนำไปใช้ประโยชน์ในด้านของความปลอดภัยมากขึ้น โดยมี CVSS score : 9.8 ซึ่งถ้าหากมีการโจมตี ช่องโหว่นี้จะทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึง API ที่ใช้ในการกำหนดค่าของ Ivanti Sentry บนพอร์ทัลของผู้ดูแลระบบได้ (Port 8443 โดยทั่วไปคือ MICS) แต่ถึงจะมีคะแนน CVSS ที่สูงมาก ก็ยังมีความเสี่ยงในการถูกโจมตีต่ำ สำหรับผู้ใช้ที่ไม่มีการเปิดเผย Port 8443 กับอินเทอร์เน็ต   การใช้ประโยชน์จากช่องโหว่นี้จะช่วยให้ผู้ไม่ประสงค์ดีสามารถอ่าน และเขียนไฟล์ไปยังเซิร์ฟเวอร์ Ivanti Sentry และยังสามารถดำเนินการใช้คำสั่งของระบบปฏิบัติการในฐานะผู้ดูแลระบบ ผ่านการใช้ super user do (sudo) ได้ และ CVE-2023-38035 ยังสามารถใช้ได้หลังจากมีการใช้ประโยชน์จาก CVE-2023-35078 และ CVE-2023-35081 ในช่วงเวลาที่ Port…
Read More
Raccoon Stealer

Raccoon Stealer การโจมตีพร้อมความสามารถในการหลบเลี่ยงการตรวจจับ 

0 CommentsNews
กลุ่มผู้ไม่ประสงค์ดีที่อยู่เบื้องหลัง Raccoon Stealer ได้มีการโจมตีอีกครั้งพร้อมกับมัลแวร์เวอร์ชันใหม่ 2.3.0 ซึ่งยังคงมีความสามารถในการขโมยข้อมูล เพิ่มเติมคือสามารถทำการโจมตีแบบหลบเลี่ยงการตรวจจับ รวมไปถึงคุณสมบัติต่อไปนี้ :  แผงควบคุมขั้นสูง ที่จะช่วยให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลได้อย่างง่ายดาย  มีการเพิ่มระบบใหม่เพื่อตรวจจับการกระทำที่ผิดปกติเช่นการเข้าถึงหลายๆ ครั้งจากที่อยู่ IP เดียวกัน ซึ่งในกรณีดังกล่าวระบบจะทำการบล็อกหรือลบส่วนที่เกี่ยวข้องกับกิจกรรมนั้นๆ และ อัปเดตข้อมูลบน client pod แต่ละรายการโดยอัตโนมัติ  ในเดือนมีนาคม 2022 Raccoon Stealer ได้หยุดการดําเนินงานเนื่องจากมีการสูญเสียนักพัฒนาในระหว่างสงครามรัสเซีย – ยูเครน เป็นผลให้มัลแวร์ถูกแทนที่ด้วยโทรจัน Dridex ซึ่งเป็นส่วนหนึ่งในการโจมตี Raccoon Stealer เป็นมัลแวร์อเนกประสงค์ที่ทำให้ผู้ไม่ประสงค์ดีสามารถทำการโจมตีได้หลากหลาย รวมถึงการทำ BEC และ cyberespionage และเพื่อที่จะป้องกันตัวเองจากภัยคุกคามดังกล่าว จึงจําเป็นจะต้องใช้ตัวจัดการรหัสผ่านแทนการจัดเก็บข้อมูลประจําตัวบนเบราว์เซอร์ ซึ่งขอแนะนําให้บังคับใช้ MFA ในบัญชีและแอปพลิเคชันต่างๆ เนื่องจากเป็นการเพิ่มความปลอดภัยอีกขั้นนหนึ่ง องค์กรต่างๆ จะต้องบังคับใช้แนวทางปฏิบัติที่ดีที่สุด รวมถึงการควบคุมความปลอดภัยของอีเมลและการอัปเดตซอฟต์แวร์เพื่อให้ปลอดภัย  Ref : https://cyware.com/news/raccoon-stealer-returns-with-new-evasion-capabilities-97d3db9b 
Read More
Citrix ShareFile

CISA เตือนช่องโหว่ของ Citrix ShareFile ที่ถูกนำไปใช้ในการโจมตี 

0 CommentsNews
CISA เตือนช่องโหว่ CVE-2023-24489 ซึ่งเป็นช่องโหว่ในการถ่ายโอนไฟล์ของ Citrix ShareFile ตกเป็นเป้าหมายโดยผู้ไม่ประสงค์ดี  Citrix ShareFile เป็นโซลูชันการจัดเก็บไฟล์บนคลาวด์ SaaS ที่มีการจัดการซึ่งช่วยให้ลูกค้าและพนักงานสามารถอัปโหลดและดาวน์โหลดไฟล์ได้อย่างปลอดภัย  เมื่อวันที่ 13 มิถุนายน 2023 Citrix ได้เผยแพร่คำแนะนำเกี่ยวกับช่องโหว่ในโซนพื้นที่เก็บข้อมูล ShareFile นั่นก็คือ CVE-2023-24489 ซึ่งเป็นช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถโจมตีโซนพื้นที่เก็บข้อมูลที่จัดการโดยลูกค้าได้  การใช้ช่องโหว่นี้ ผู้ไม่ประสงค์ดีสามารถอัปโหลดเว็บเชลล์ไปยังอุปกรณ์เพื่อให้เข้าถึงพื้นที่เก็บข้อมูลและไฟล์ทั้งหมดได้อย่างเต็มที่  กลุ่มผู้ไม่ประสงค์ดี Clop Ransomware เป็นกลุ่มที่ใช้ช่องโหว่ประเภทนี้เป็นพิเศษ โดยใช้ช่องโหว่เหล่านี้ในการโจมตีและการโจรกรรมข้อมูลตั้งแต่ปี 2021 ซึ่งใช้ประโยชน์จากช่องโหว่ Zero-day ในโซลูชัน SolarWinds Serv-U, GoAnywhere MFT และล่าสุดคือการโจมตีครั้งใหญ่บนเซิร์ฟเวอร์ MOVEit Transfer  GreyNoise พบว่ามีการใช้ประโยชน์จากช่องโหว่หรือตรวจสอบว่าเซิร์ฟเวอร์ ShareFile มีความเสี่ยงหรือไม่จากทั้ง 72 IP โดยส่วนใหญ่มาจากเกาหลีใต้และประเทศอื่นๆ ในฟินแลนด์ สหราชอาณาจักร และสหรัฐอเมริกา  …
Read More
McAfee ค้นพบแอป Android ที่เป็นอันตราย

แอปพลิเคชันบน Google Play Store ที่มีการติดตั้ง 2.5 ล้านครั้ง โหลดโฆษณาเมื่อปิดหน้าจอ 

0 CommentsNews
ทีมวิจัยอุปกรณ์เคลื่อนที่ของ McAfee ค้นพบแอป Android ที่เป็นอันตรายและรายงานให้ Google ทราบ เนื่องจากละเมิดนโยบายของ Google Play Store และในภายหลัง Google ได้ลบแอปพลิเคชันออกจากร้านค้าทางการของ Android   แอปพลิเคชันเหล่านี้ หลักๆเป็นแอปพลิเคชันสตรีมมิ่งสื่อและเครื่องมือรวบรวมข่าว และกลุ่มเป้าหมายเป็นส่วนใหญ่คือผู้ใช้ในประเทศเกาหลี กลยุทธ์การหลอกลวงเหล่านี้สามารถนำไปใช้ ในหมวดแอปพลิเคชันอื่น ๆ และกลุ่มผู้ใช้ที่หลากหลายได้  แม้ว่าแอปพลิเคชันเหล่านี้จะถูกพิจารณาว่าเป็นแอดแวร์ (adware) แต่ก็ยังเป็นอันตรายต่อผู้ใช้ เนื่องจากจะเปิดโอกาสให้เกิดความเสี่ยงในเรื่องของความเสี่ยงในการระบุตัวตนของผู้ใช้ พลังงานแบตเตอรี่บนอุปกรณ์ลดลงเร็วอย่างผิดปกติ ใช้ข้อมูลอินเทอร์เน็ตปริมาณมากขึ้น และกระทำการฉ้อโกงต่อผู้โฆษณา  รายงานของ McAfee ระบุว่าแอดแวร์ (adware) ถูกซ่อนอยู่ในแอปพลิเคชันบน Google Play Store  ที่ปลอมตัวเป็นแอปพลิเคชันเล่นทีวี/DMB Player, โปรแกรมดาวน์โหลดเพลง, ข่าว และปฏิทิน  หลังจากติดตั้งบนอุปกรณ์แล้ว แอปพลิเคชันแอดแวร์ (adware) จะรอเวลาหลายสัปดาห์ก่อนที่จะเริ่มปฎิบัติการฉ้อโกงโฆษณาเพื่อหลอกลวงผู้ใช้และหลบเลี่ยงการตรวจพบโดยผู้ตรวจสอบของ Google  McAfee กล่าวว่าการกำหนดค่าของแอดแวร์ (adware) สามารถแก้ไขและอัปเดตจากระยะไกลผ่าน…
Read More
Social Media กับภัยคุกคามที่อาจเกิดขึ้นกับคุณ

Social Media กับภัยคุกคามที่อาจเกิดขึ้นกับคุณ

0 CommentsGeneral
ทุกวันนี้เรามีการใช้โซเชียลมีเดียเป็นส่วนหนึ่งของชีวิตประจำวันไม่ว่าจะเป็นการติดตามข่าวสารข้อมูล หรือการสื่อสารกับเพื่อนๆและการเเชร์ข้อมูลส่วนตัวบางส่วนเช่น ข้อมูลการศึกษาสถานที่ทำงาน E-mail ไปถึงเบอร์ติดต่อซึ่งทำให้มีความเสี่ยงในการโดน Social Engineeringที่อาจส่งผลต่อการใช้ชีวิตส่วนตัวและยังสามารถกระทบต่อองค์กรได้วันนี้เรามาดูกันว่ามีภัยคุกคามอะไรบ้างที่สามารถเกิดขึ้นกับเรา 1. ความเสี่ยงจากการแฮกบัญชี:การไม่รักษาความปลอดภัย หรือ ใช้รหัสผ่านที่ง่ายเกินไปและไม่มีการเปลี่ยนรหัสผ่านอยู่เป็นประจำสามารถทำให้ผู้ไม่ประสงค์ดีเข้าถึงบัญชีของคุณได้ 2. การแพร่กระจายข้อมูลปลอม:ข้อมูลหรือข่าวสารที่ไม่เป็นความจริงหรือ Fake Newsมักถูกแชร์ไปอย่างกว้างขวาง จนสร้างความสับสนและทำให้เกิดปัญหาในสังคมทำให้ผู้ที่ไม่ระวังอาจเผลอกด Link ที่เป็นอันตรายได้ 3. ภัยจากการแชร์ข้อมูลส่วนตัว:การแชร์ที่อยู่, เบอร์โทร, หรือข้อมูลส่วนบุคคลอื่นๆอาจทำให้ผู้ไม่ประสงค์ดีสามารถเข้าถึงตัวเราได้ง่ายมากขึ้นและอาจทำให้เกิดเหตุการณ์ที่ไม่คาดฝัน  4. บุคคลที่อาจไม่ใช่เพื่อน:การเป็นเพื่อนกับบุคคลที่ไม่รู้จักในโลกออนไลน์สามารถเปิดโอกาสให้เกิดการละเมิดความเป็นส่วนตัวหรือทำให้เกิดการหลอกลวงได้ง่ายขึ้น 5. โฆษณาที่ก่อความรำคาญ:เราอาจเคยเจอกับแคมเปญการตลาดที่ก่อความรำคาญหรือโฆษณาที่น่าสงสัยซึ่งอาจเป็นช่องทางการแพร่มัลแวร์ ที่สร้างโดยผู้ไม่หวังดีด้วยการสร้าง Link ให้เหยื่อเข้าไปในเว็บไซต์ที่อันตรายได้ แนวทางในการป้องกัน: ตรวจสอบความเป็นส่วนตัวของบัญชีให้เข้มงวด อย่าเปิดลิงค์จากแหล่งที่ไม่น่าเชื่อถือ ใช้รหัสผ่านที่ซับซ้อนและเปลี่ยนบ่อยๆ สนับสนุนการใช้ 2FA (Two-Factor Authentication) เพื่อเพิ่มชั้นความปลอดภัย อย่างไรก็ตามเพื่อความปลอดภัยในการใช้โซเชียลมีเดีย ควรตระหนักถึงความเสี่ยงและควรมีความระมัดระวังในการแชร์ข้อมูลต่างๆ ไปถึงการตั้งค่าความเป็นส่วนตัวเพื่อป้องกันไม่ให้เกิดเหตุการณ์ไม่พึงประสงค์
Read More
การหลอกลวงรูปแบบใหม่ผ่าน Facebook

WHY SOSECURE ?
“การหลอกลวงรูปแบบใหม่ผ่าน Facebook”

0 CommentsEvent
ใน Webinar ครั้งนี้ SOSECURE จะพูดถึงภัยคุกคามที่กำลังระบาดบน Facebook Messenger ในขณะนี้พร้อมการเจาะลึก Malware ที่ถูกแนบมากับการโจมตีในรูปแบบนี้ว่ามีความสามารถ และ สร้างความเสียหายอะไรให้กับคุณได้บ้าง ? จะอยู่กับความกลัว หรือ จะอยู่กับความปลอดภัยแล้วพบกันในวันที่ 24 สิงหาคม 2566เวลา 20.00-21.00ที่ Facebook : SOSECURE กดเพื่อรับการเเจ้งเตือนได้ที่https://www.facebook.com/events/6450194081767535
Read More
EoL Zyxel Router 

มัลแวร์ Gafgyt ใช้ประโยชน์จากช่องโหว่ของ EoL Zyxel Router 

0 CommentsNews
Fortinet เตือนเกี่ยวกับมัลแวร์ Gafgyt botnet ใช้ประโยชน์จากช่องโหว่ใน Zyxel P660HN-T1A router ที่หมดอายุการใช้งานในการโจมตีนับพันครั้ง  มัลแวร์กำหนดเป้าหมายไปที่ CVE-2017-18368 ซึ่งเป็นช่องโหว่ที่ไม่ได้รับการตรวจสอบสิทธิ์ในฟังก์ชันRemote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2560  Fortinet ยังคงพบการโจมตีเฉลี่ย 7,100 ครั้งต่อวันตั้งแต่ต้นเดือนกรกฎาคม 2566 โดยการโจมตีดังกล่าวยังคงเกิดขึ้นจนถึงปัจจุบัน  ปริมาณการโจมตีที่เกิดขึ้นจากช่องโหว่ CVE-2017-18368   Zyxel ได้ให้คำแนะนำให้กับลูกค้าว่าช่องโหว่ CVE-2017-18363 ส่งผลกระทบต่ออุปกรณ์ที่ใช้เฟิร์มแวร์เวอร์ชัน 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่าเท่านั้น  P660HN-T1A routers ที่ใช้เฟิร์มแวร์เวอร์ชันล่าสุดซึ่งมีให้ใช้งานในปี 2560 เพื่อแก้ไขช่องโหว่เวอร์ชัน 3.40 (BYF.11) จะไม่ได้รับผลกระทบจากการโจมตีดังกล่าว  สัญญาณทั่วไปของการติด botnet บน routers ได้แก่ การเชื่อมต่อที่ไม่เสถียร, อุปกรณ์ร้อนเกินไป, การเปิดพอร์ตใหม่ และการ…
Read More