คลังเก็บป้ายกำกับ: THREATS_UPDATE

Cisco ออกแพตช์ IOS และ IOS XE อุดช่องโหว่การโจมตี IKE Crypto แบบใหม่

Cisco ผู้ให้บริการโซลูชันด้านเครือข่ายและ Data Center ชื่อดัง ออกแพตช์อุดช่องโหว่การโจมตีเชิง Cryptographic แบบใหม่บนโปรโตคอล IKE บนระบบปฏิบัติการ IOS และ IOS XE เสี่ยงถูกอ่าน/เขียนข้อมูลในเซสชัน VPN ได้ แนะให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็ว

Credit: Visual Generation/ShutterStock

ช่องโหว่ดังกล่าวมีรหัส CVE-2018-0131 เป็น 1 ใน 4 ช่องโหว่การโจมตีประเภท Bleichenbacher Oracle Cryptographic Attack แบบใหม่บนโปรโตคอล IKE (Internet Key Exchange) ซึ่งเป็นงานวิจัยล่าสุดที่กำลังจะถูกนำเสนอในงานสัมมนาวิชาการ Usenix Security Symposium ครั้งที่ 27 ณ เมือง Baltimore สหรัฐฯ สัปดาห์นี้ สามารถอ่านบทคัดย่อของงานวิจัยได้ด้านล่าง

In this paper, we show that reusing a key pair across different versions and modes of IKE can lead to cross-protocol authentication bypasses, enabling the impersonation of a victim host or network by attackers. We exploit a Bleichenbacher oracle in an IKEv1 mode, where RSA encrypted nonces are used for authentication. Using this exploit, we break these RSA encryption based modes, and in addition break RSA signature based authentication in both IKEv1 and IKEv2. Additionally, we describe an offline dictionary attack against the PSK (Pre-Shared Key) based IKE modes, thus covering all available authentication mechanisms of IKE.

ทีมนักวิจัยระบุว่า การโจมตีใหม่ที่ค้นพบนี้สามารถใช้ได้ผลกับ IKEv1 ที่ใช้งานบนผลิตภัณฑ์ของ Cisco (CVE-2018-0131), Hua­wei (CVE-2017-17305), Cla­vis­ter (CVE-2018-8753) และ ZyXEL (CVE-2018-9129) ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยค่า Nonces ที่ถูกเข้ารหัสข้อมูลจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนได้ ผลลัพธ์ที่ตามมาคือ แฮ็กเกอร์สามารถทำ Man-in-the-Middle และอ่าน/เขียนข้อมูลในเซสชันของ IPSec VPN ได้ อย่างไรก็ตาม หลังจากค้นพบ ทีมนักวิจัยได้รายงานช่องโหว่ไปยังเจ้าของผลิตภัณฑ์แต่ละราย ซึ่งก็ได้ทยอยออกแพตช์สำหรับอุดช่องโหว่เป็นที่เรียบร้อย

สำหรับ Cisco นั้น ช่องโหว่ CVE-2018-0131 ส่งผลกระทบต่อผลิตภัณฑ์หลักหลายรายการที่ใช้ระบบปฏิบัติการ IOS และ IOS XE (ไม่ส่งผลกระทบต่อ IOS XR) ซึ่งทาง Cisco ก็ได้ออกแพตช์เพื่ออุดช่องโหว่เป็นที่เรียบร้อย สามารถดูรายละเอียดเพิ่มเติมได้ที่ Security Advisory

สำหรับ Clavister, Huawei และ ZyXEL นั้น สามารถดู Security Advisory ได้ที่ 1, 2 และ 3 ตามลำดับ

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-patches-its-operating-systems-against-new-ike-crypto-attack/

from:https://www.techtalkthai.com/cisco-patches-new-ike-crypto-vulnerabilty-in-ios-and-ios-xe/

Advertisements

Instagram ถูกแฮ็ก ผู้ใช้หลายร้อยคนไม่สามารถล็อกอินได้

ช่วงสัปดาห์ที่ผ่านมา มีผู้ใช้หลายรายร้อยคนได้โพสต์ข้อความบน Twitter และ Reddit ระบุว่าบัญชี Instagram ของตนถูกแฮ็กอย่างลึกลับ ทำให้ไม่สามารถล็อกอินเข้าใจงานได้ และบัญชีอีเมลที่ใช้ถูกเปลี่ยนเป็นโดเมน .ru คาดว่าเป็นแคมเปญการแฮ็กจากรัสเซีย

รายงานจากผู้ที่ตกเป็นเหยื่อระบุว่า นอกจากจะไม่สามารถล็อกอินเข้า Instagram ได้แล้ว ชื่อบัญชี รูปโปรไฟล์ รหัสผ่าน อีเมล รวมไปถึงบัญชี Facebook ที่ผูกกับ Instagram ยังถูกแก้ไขอีกด้วย ซึ่งรูปโปรไฟล์ของตนถูกเปลี่ยนเป็นรูปภาพจากหนังชื่อดังต่างๆ เช่น Despicable Me 3 หรือ Pirates of the Caribbean

ที่น่าตกใจคือ รายงานจาก Mashable ระบุว่า มีผู้ใช้อ้างว่าได้เปิดใช้งาน 2-factor Authentication (2FA) เพื่อพิสูจน์ตัวตน แต่ก็ยังได้รับผลกระทบจากการแฮ็กดังกล่าว อย่างไรก็ตาม ยังไม่มีรายงานยืนยันแน่ชัดว่าเป็นเรื่องจริงหรือไม่

ทาง Instagram ก็ไม่ได้นิ่งนอนใจ หลังทราบข่าวก็ได้ออกแถลงการณ์ผ่าน Blog ระบุว่า ขณะนี้ทางบริษัทกำลังดำเนินการตรวจสอบเหตุการณ์ดังกล่าวอยู่ และได้ตั้งทีมขึ้นมาเพื่อช่วยเหลือผู้ใช้ให้บัญชีของตนมีความมั่นคงปลอดภัยมากยิ่งขึ้น พร้อมทั้งแนะนำให้ผู้ใช้ตั้งค่ารหัสผ่านให้แข็งแรง เปิดใช้ 2FA และยกเลิกการใช้แอปพลิเคชันของ 3rd Party ที่อาจมีสิทธิ์เข้าถึงบัญชีของตน

จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าใครอยู่เบื้องหลังการแฮ็กนี้ และแรงจูงใจคืออะไร แต่คาดเดาจากการเปลี่ยนอีเมลเป็นโดเมน .ru ทำให้เชื่อว่าเป็นฝีมือของกลุ่มแฮ็กเกอร์ชาวรัสเซีย หรืออาจจะปลอมตัวเพื่อใส่ร้ายประเทศรัสเซียก็ได้

ที่มา: https://thehackernews.com/2018/08/hack-instagram-accounts.html

from:https://www.techtalkthai.com/instagram-hacked-hundreds-of-users-cannot-login/

ธนาคารอินเดียถูก Hacker โจมตี สูญเงินกว่า 400 ล้านบาทในเวลาเพียง 3 วัน

Cosmos Bank ธนาคารที่ใหญ่ที่สุดเป็นอันดับที่ 2 ของอินเดีย ได้ออกมาแถลงถึงการที่ระบบ Server ของธนาคารถูกโจมตีในช่วงวันหยุดสุดสัปดาห์ และถูกขโมยเงินไปกว่า 13.5 ล้านเหรียญหรือราวๆ 432 ล้านบาทภายในเวลาเพียงแค่ 3 วัน

 

Credit: ShutterStock.com

 

ทางธนาคารกำลังสอบสวนถึงคดีนี้อยู่ และวันที่ระบบของธนาคารถูกเจาะเข้ามานั้นก็ยังไม่เป็นที่ทราบแน่ชัด แต่ทางธนาคารได้รายงานว่า Hacker กลุ่มนี้ทำการขโมยเงินออกไปด้วยกัน 3 ครั้ง โดยสองครั้งแรกเกิดขึ้นมาวันเสาร์ที่ผ่านมาโดยทำการถอนเงินจำนวน 11.4 ล้านเหรียญออกไปผ่านการทำธุรกรรมทางตู้ ATM 14,849 ครั้งจาก 28 ประเทศทั่วโลก จนธนาคารตรวจสอบพบความผิดปกติดังกล่าวจึงได้ทำการยับยั้งการโจมตีและเสริมความมั่นคงปลอดภัยให้กับระบบ

แต่การป้องกันนั้นก็ยังไม่เพียงพอ เพราะเหล่า Hacker ได้ทำการโจมตีครั้งที่ 3 ต่อเมื่อวันจันทร์ที่ผ่านมาโดยการโอนเงินผ่านระบบ SWIFT ไปยังบัญชีที่ประเทศฮ่องกง สร้างความเสียหายอีกเป็นมูลค่า 2 ล้านเหรียญ

ทางธนาคารออกมาแถลงว่าเงินที่ถูกขโมยไปดังกล่าวนี้ไม่ได้มาจากบัญชีของลูกค้า และธนาคารจะรับผิดชอบความเสียหายทั้งหมดที่เกิดขึ้น โดยจากหลักฐานที่ทางธนาคารมีอยู่นั้นก็เชื่อว่าการโจมตีครั้งนี้เกิดขึ้นโดยมีต้นตออยู่ในประเทศแคนาดา แต่นั่นก็อาจเป็นเพียงแค่วิธีการหลอกล่อปกปิดตำแหน่งของผู้โจมตีจริงๆ ก็เป็นได้

 

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-steal-135-million-across-three-days-from-indian-bank/

from:https://www.techtalkthai.com/hackers-attacked-indian-bank-for-432-million-thb/

L1 Terminal Fault: 3 ช่องโหว่ล่าสุดบน Intel CPU ที่ทำให้เข้าถึงข้อมูลบน L1 Cache ได้

ปีนี้แนวโน้มการค้นหาช่องโหว่บน CPU ถือว่ามาแรงมาก และล่าสุดนี้ทาง Intel ก็ได้ออกมาเผยถึง 3 ช่องโหว่ความรุนแรงระดับสูงบน CPU ที่ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ถูกจัดเก็บเอาไว้ใน L1 Cache บน CPU ได้ และเรียก 3 ช่องโหว่นี้รวมกันว่า L1 Terminal Fault หรือ L1TF นั่นเอง ซึ่งช่องโหว่เหล่านี้ก็ส่งผลกระทบกับทั้ง Application, Kernel, Virtual Machine (VM), Software Guard Extensions (SGX) และ System Management Mode (SMM) ทำให้เหล่าผู้ดูแลระบบต้องเตรียมติดตามข่าวและอัปเดตระบบทั้งหมดในอีกไม่ช้านี้

 

Credit: ShutterStock.com

 

L1TF นี้นับเป็นช่องโหว่สำคัญอีกช่องโหว่หนึ่งที่ถูกเปิดเผยออกมาในปีนี้ และเป็นช่องโหว่ที่อาจนำมาซึ่งการโจมตีในกลุ่ม Speculative Side-Channel Attack ได้ โดยช่องโหว่ทั้ง 3 ได้รับรหัสดังนี้

  • CVE-2018-3615 ส่งผลกระทบกับ Intel SGX โดยต้องทำการอัปเดต Microcode เพื่อแก้ไข
  • CVE-2018-3620 ส่งผลกระทบกับระบบปฏิบัติการและ SMM ซึ่งต้องทำการอัปเดต Kernel ของระบบปฏิบัติการและทำการอัปเดต Microcode ของ SMM เพื่อแก้ไข
  • CVE-2018-3646 ส่งผลกระทบกับ Hypervisor และ VM ต้องทำการอัปเดตทั้ง Microcode, OS, Hypervisor เพื่อแก้ไข

หลังจากนี้ก็ต้องเตรียมตัวอัปเดต Patch กันให้ดี ซึ่งปัจจุบันนี้ Canonical ก็ได้เริ่มออก Patch อุดช่องโหว่มาให้กับ Ubuntu แล้ว และ Microsoft Azure, Amazon Web Services และ Google Cloud Platform เองก็เริ่มมีการรับมือกับช่องโหว่ดังกล่าวแล้วเหมือนกัน ส่วนผู้พัฒนาระบบปฏิบัติการ, Hypervisor และผู้ให้บริการ Cloud รายอื่นๆ นั้นก็คงมีข่าวอัปเดตตามออกมาในไม่ช้านี้

สำหรับรายละเอียดฉบับเต็มเกี่ยวกับ L1TF สามารถศึกษาได้ที่ https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault ส่วนด้านล่างนี้เป็นคลิปอธิบายช่องโหว่ L1TF จากทาง Intel ครับ

 

 

ที่มา: https://www.theregister.co.uk/2018/08/14/intel_l1_terminal_fault_bugs/, https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

from:https://www.techtalkthai.com/l1-terminal-fault-vulnerabilities-on-intel-cpu-were-disclosed/

Faxploit: โจมตีช่องโหว่บน Fax Protocol เจาะระบบเครือข่ายได้ทันทีเพียงแค่มีเบอร์ Fax ของเป้าหมาย

ในงาน DEF CON 26 นักวิจัยด้าน Security จาก Check Point ได้ออกมาเล่าถึงการค้นพบการโจมตีที่มีชื่อว่า Faxploit ซึ่งอาศัยช่องโหว่บน Fax Protocol อย่าง ITU T.30 ซึ่งสามารถใช้เจาะระบบเครือข่ายขององค์กรได้ทันทีเพียงแค่ทราบเบอร์ Fax ของเป้าหมาย

 

Credit: Check Point

 

การโจมตี Faxploit นี้ใช้ช่องโหว่ที่ระบบสำหรับจัดการ DHT และ COM บน Fax ซึ่งได้รับรหัส CVE-2018-5924 และ CVE-2018-5925 ร่วมกัน โดยผู้โจมตีสามารถทำการส่ง Fax Image ที่มีโค้ดซึ่งใช้โจมตีช่องโหว่เหล่านี้แฝงอยู่ด้วย เพียงเท่านี้ก็สามารถเข้าถึงสิทธิ์สำหรับใช้ทำ Remote Code Execution ในเครื่อง Fax เป้าหมายได้แล้ว และทำให้สามารถนำไปใช้โจมตีต่อเนื่องด้วยวิธีการอื่นๆ ได้ ซึ่งเหล่านักวิจัยก็ได้แสดงการโจมตีเครื่อง Fax เพื่อทำการโหลดเครื่องมือสำหรับโจมตีต่อเนื่องด้วย EternalBlue ไปยัง SMB Protocol ดังคลิปด้านล่างนี้

 

 

ทั้งนี้จะเห็นได้ว่าการโจมตีนี้เกิดขึ้นผ่านการส่งข้อมูลผ่านทางสายโทรศัพท์ ไม่ได้ผ่าน Internet ดังนั้นการป้องกันการโจมตีดังกล่าวบนอุปกรณ์ที่ยังคงมีช่องโหว่เหล่านี้ให้โจมตีถือว่าทำได้ค่อนข้างยากทีเดียว

ปัจจุบันนี้มีเพียง HP เท่านั้นที่ออก Patch มาอุดช่องโหว่ของ Faxploit บน HP OfficeJet ซึ่งเป็นเครื่องที่ทีมงาน Check Point ใช้ทดสอบโจมตีในคลิป ส่วนผู้ผลิต Printer รายอื่นๆ จะออก Patch ตามมาหลังจากนี้ครับ

ทาง Check Point ได้เตือนว่าระหว่างนี้หากยังต้องใช้ Fax อยู่ ก็อาจต้องแบ่ง Segment ของระบบเครือข่ายให้ดี เพื่อที่ว่าหาก Printer เหล่านี้ถูกโจมตีแล้ว ก็จะได้จำกัดวงความเสียหายที่จะเกิดขึ้นได้นั่นเอง

 

ที่มา: https://www.bleepingcomputer.com/news/security/vulnerabilities-in-fax-protocol-let-hackers-infiltrate-networks-via-fax-machines/

from:https://www.techtalkthai.com/faxploit-vulnerability-on-fax-protocol-could-be-used-to-hack-enterprise-network/

การแข่งขันกอล์ฟรายการ PGA Championship ถูกโจมตีด้วย Ransomware เรียกค่าไถ่

รายการแข่งขันกอล์ฟชื่อดังอย่าง PGA Championship นั้นตกเป็นเหยื่อการโจมตีของ Hacker ที่ใช้ Ransomware ทำการเข้ารหัสไฟล์ใน Server ของ PGA America เพื่อเรียกค่าไถ่เป็น Bitcoin โดยไม่ระบุจำนวนแต่อย่างใด

 

Credit: PGA Championship

 

การโจมตีครั้งนี้ได้ทำให้ข้อมูลและเอกสารด้านการตลาดของรายการ PGA Championship นั้นถูกเข้ารหัส และทำให้ทีมจัดการแข่งขันไม่สามารถเข้าถึงข้อมูลเหล่านั้นได้ โดยส่วนใหญ่ข้อมูลที่ถูกเข้ารหัสในครั้งนี้เป็นแบนเนอร์สำหรับโฆษณา และโลโก้ต่างๆ สำหรับใช้ในการพิมพ์และสร้างสื่อแบบ Digital เป็นหลัก

ประเด็นที่น่าสนใจคือ เหล่าผู้โจมตีนั้นถึงแม้จะให้ Bitcoin Address สำหรับใช้เป็นช่องทางในการเรียกค่าไถ่ แต่ก็ไม่ได้มีการระบุจำนวน Bitcoin ที่ต้องการ ทำให้เหล่าผู้เชี่ยวชาญด้าน Security ออกมาวิเคราะห์ว่าในกรณีนี้ถึงแม้จะโอน Bitcoin ไปก็อาจไม่ได้ไฟล์คืนทันที เพราะผู้โจมตีอาจต้องการเรียกค่าไถ่ให้ได้มูลค่าสูงสุดเท่าที่จะเป็นไปได้ในขั้นตอนการต่อรอง อีกทั้งการยอมจ่ายค่าไถ่นี้ก็จะยิ่งทำให้มี Hacker รายอื่นๆ เกิดแรงบันดาลใจในการโจมตีด้วยวิธีนี้ตามมาในอนาคต

อย่างไรก็ดี ทีมจัดการแข่งขัน PGA Championship นี้จะยังคงดำเนินการแข่งขันต่อไปตามตารางที่กำหนดเอาไว้ต่อไป

 

ที่มา: https://www.hackread.com/pga-golf-championship-hit-with-bitcoin-ransomware/

from:https://www.techtalkthai.com/pga-championship-was-attacked-by-ransomware/

นักวิจัยจาก IBM โชว์มัลแวร์ติด AI ในงาน Black Hat USA 2018

นักวิจัยจาก IBM ได้โชว์ผลงาน ‘DeepLocker’ เครื่องมือการโจมตีที่หลีกเลี่ยงการตรวจจับและตั้งเป้าหมายขั้นสูง โดยการใช้ AI จะช่วยให้สามารถอำพรางพฤติกรรมการทำงานเพราะจะไม่ปฏิบัติการจนกว่าจะเจอเป้าหมายที่กำหนดไว้ซึ่งทำให้หลบเลี่ยงการตรวจจับของการอุปกรณ์ป้องกัน ในผลงานนี้ทางทีม IBM ได้นำไปโชว์ที่งาน Black Hat 2018 ที่จัดขึ้น ณ ประเทศสหรัฐอเมริกา

สิ่งที่นักวิจัยนำมาโชว์คือทำการอำพราง WannaCry ไว้ในแอปพลิเคชัน Video Conference ที่เหมือนปกติซึ่งไม่สามารถถูกตรวจพบได้โดยเครื่องมือวิเคราะห์มัลแวร์ รวมถึงกลไกของ Antivirus และ Sandbox ซึ่งมัลแวร์ถูกเทรนให้จดจำใบหน้าของเหยื่ออย่างเฉพาะเจาะจงด้วยโมเดลของ AI ดังนั้นลองคิดดูว่าแอปพลิเคชันอย่าง Video Conference ที่มีคนใช้หลายล้านคนแฝงมากับมัลแวร์ที่เรามิอาจรู้ได้เลยว่าใครคือเหยื่อจะทำอย่างไร

DeepLocker ได้ประยุกต์ใช้งานโมเดล Deep Neural Network เพื่อสร้างเงื่อนไขในการเริ่มการทำงานที่อาจจะเป็นอะไรก็ได้ เช่น เสียง ภาพ พิกัด และฟีเจอร์ของระบบ ดังนั้นมีความน่าจะเป็นได้หลากหลายมากทำให้แนวทางการทำ Reverse Engineering เพื่อศึกษาจุดประสงค์และเนื้อหาของการโจมตีเป็นไปได้อย่างยากลำบาก ในทางเทคนิคแล้ววิธีการนี้ช่วยให้สามารถอำพรางการโจมตีได้ 3 ระดับ คือ

  • ใครหรืออะไรคือเหยื่อ
  • อะไรคือตัวจุดชนวนให้เริ่มการโจมตี
  • จุดประสงค์สุดท้ายของการโจมตีคืออะไร

อันที่จริงจุดประสงค์หลักของทีม IBM คือการศึกษาการเสริมพลังภัยคุกคามด้วย AI ที่อาจะเกิดขึ้นได้ในอนาคตและนำเสนอว่าผู้โจมตีมีความสามารถที่จะสร้างมัลแวร์เพื่อหลีกเลี่ยงการตรวจจับของฝั่งป้องกันในปัจจุบันได้อย่างไร พร้อมทั้งหาทางรับมือกับความเสี่ยงที่จะเกิดขึ้น อย่างไรก็ตามแม้ว่าตอนนี้อาจจะยังไม่พบมัลแวร์ในลักษณะดังกล่าวแต่เมื่อมีการถูกเผยแพร่แนวทางออกมาท่ามกลางสาธรณะชนอีกไม่นานฝ่ายป้องกันก็ควรเตรียมตัวรับมือได้เลย

ที่มา : https://securityintelligence.com/deeplocker-how-ai-can-power-a-stealthy-new-breed-of-malware/ และ  https://www.scmagazine.com/ibm-researchers-developed-ai-powered-malware-to-demonstrate-future-threat-models/article/786844/

from:https://www.techtalkthai.com/ibm-researcher-shown-malware-powered-ai-by-deeplocker-tool/