06 2562

กลุ่มแฮกเกอร์เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure องค์กรจำนวนมากยังไม่แพตช์

ที่มา – https://www.blognone.com/node/111738

ZDNet อ้างแหล่งข่าวที่เกี่ยวข้องกับการโจมตี ระบุว่ากลุ่มแฮกเกอร์ APT5 หรือ Mananese เริ่มใช้ช่องโหว่ VPN ของ Fortinet และ Pulse Secure เพื่อมโจมตีเป็นวงกว้าง โดยช่องโหว่ทั้งสองรายการนั้นมีแพตช์ออกมาหลายเดือนแล้ว

ช่องโหว่ CVE-2018-13379 เป็นช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอ่านไฟล์บนเซิร์ฟเวอร์ VPN ได้โดยไม่ต้องยืนยันตัวตน เปิดทางให้แฮกเกอร์ดาวน์โหลดไฟล์ของระบบออกมาได้ โดยทาง Fotinet ออกแพตช์มาตั้งแต่เดือนพฤษภาคม และรายละเอียดช่องโหว่มีการนำเสนอในงาน BlackHat 2019 ที่ผ่านมา

ส่วนช่องโหว่ CVE-2019-11510 เป็นช่องโหว่ประเภทเดียวกัน เปิดทางให้แฮกเกอร์อ่านไฟล์บนเซิร์ฟเวอร์ Pulse Secure ได้ ทางบริษัทเปิดแพตช์ตั้งแต่เดือนเมษายนที่ผ่านมา โดยจัดระดับความร้ายแรงช่องโหว่ที่ CVSS 10 รายละเอียดนั้นก็มีการเปิดเผยออกมาแล้วโดยจุดที่ร้ายแรงคือเมื่อใช้ร่วมกับช่องโหว่ CVE-2019-11539 จะทำให้แฮกเกอร์สามารถเข้าถึง Secure Shell ในสิทธิ์ root ได้

กลุ่ม APT5 เป็นกลุ่มแฮกเกอร์ที่มักโจมตีในแถบเอเชียตะวันออกเฉียงใต้

ทาง ZDNet ตั้งข้อสังเกตว่าแม้ Fortinet จะออกแพตช์มาหลายเดือนแล้ว แต่ไม่มีการแจ้งเตือนถึงความร้ายแรงของช่องโหว่นี้เป็นพิเศษ โดยบริษัทเพิ่งเขียนบล็อกแจ้งเตือนอีกครั้งเมื่อ 28 สิงหาคมที่ผ่านมา ขณะที่ Pulse Secure นั้นแจ้งเตือนลูกค้าชัดเจนกว่า โดยติดต่อผ่านอีเมล, หน้าเว็บซัพพอร์ต, และแจ้งผ่านพันธมิตร แต่ปรากฎว่าลูกค้าจำนวนมากก็ยังไม่ยอมอัพเดตอยู่ดี

 

ข่าวที่เกี่ยวข้อง

05 2562

แจ้งเตือน แอปพลิเคชัน CamScanner เวอร์ชันฟรีใน Android ถูกฝังมัลแวร์ ลบด่วน

ที่มา: https://www.thaicert.or.th/newsbite/2019-08-28-01.html#2019-08-28-01

CamScanner เป็นแอปพลิเคชันในโทรศัพท์มือถือที่สามารถถ่ายรูปเอกสารแล้วสร้างเป็นไฟล์ PDF ได้ ลักษณะใกล้เคียงกับการใช้เครื่องสแกน แอปพลิเคชันนี้ได้รับความนิยมสูง มียอดดาวน์โหลดรวมกว่า 100 ล้านครั้ง เมื่อวันที่ 27 สิงหาคม 2562 นักวิจัยจากบริษัท Kaspersky ได้แจ้งเตือนว่าแอปพลิเคชัน CamScanner เวอร์ชันฟรีที่สามารถดาวน์โหลดได้จาก Google Play Store นั้นถูกฝังมัลแวร์มาด้วย โดยโค้ดของมัลแวร์อยู่ในไลบรารีที่ใช้สำหรับแสดงผลโฆษณา ซึ่งโค้ดดังกล่าวสามาถดาวน์โหลดโปรแกรมจากแหล่งภายนอกมาติดตั้งโดยไม่ได้รับอนุญาต แสดงโฆษณารบกวนการทำงาน รวมถึงแอบสมัครบริการแบบเสียเงินโดยที่ผู้ใช้ไม่ได้ร้องขอ

ทาง Kaspersky คาดว่าสาเหตุของปัญหานี้เกิดจากผู้พัฒนารับลงโฆษณาจากบริษัทที่ใช้วิธีหารายได้แบบฉ้อฉล ซึ่งการนำไลบรารีจากบริษัทโฆษณาดังกล่าวมาใช้งานจึงส่งผลให้แอปพลิเคชันได้รับผลกระทบไปด้วย ที่มาของข้อสันนิษฐานนี้เนื่องจากไลบรารีโฆษณาที่พบใน CamScanner คล้ายกับที่พบในโทรศัพท์มือถือราคาถูกที่ผลิตจากประเทศจีน ซึ่งใช้วิธีแอบติดตั้งมัลแวร์เพื่อแสดงผลโฆษณาในลักษณะเดียวกัน ทั้งนี้ ในรายงานแจ้งว่าแอปพลิเคชัน CamScanner + ซึ่งเป็นเวอร์ชันที่ต้องจ่ายเงินนั้นไม่ได้รับผลกระทบแต่อย่างใดเนื่องจากไม่มีส่วนของการแสดงผลโฆษณา

หลังจาก Kaspersky ได้แจ้งไปยัง Google แอปพลิเคชัน CamScanner เวอร์ชันฟรีได้ถูกถอดออกจาก Play Store แล้ว อย่างไรก็ตาม ผู้ที่เคยติดตั้งหรือใช้งานโปรแกรมดังกล่าวอาจมีความเสี่ยงจากมัลแวร์หรือการโจมตีอื่นๆ ได้ ควรลบแอปพลิเคชัน CamScanner ออกจากเครื่องโดยเร็ว

05 2562

อัปเดตด่วน พบการโจมตี Webmin, Pulse Secure, และ Fortinet VPN หน่วยงานในไทยมีความเสี่ยง

ที่มา: https://www.thaicert.or.th/newsbite/2019-08-27-01.html#2019-08-27-01

Bad Packets รายงานว่าพบการโจมตี Webmin, Pulse Secure, และ Fortinet VPN ซึ่งเป็นบริการสำหรับใช้บริหารจัดการเซิร์ฟเวอร์และ VPN โดยบริการเหล่านี้ได้รับความนิยมและถูกใช้งานในองค์กรเป็นจำนวนมาก รูปแบบการโจมตีเป็นการใช้ช่องโหว่ที่ถูกเปิดเผยสู่สาธารณะซึ่งปัจจุบันมีแพตช์แก้ไขช่องโหว่แล้ว หน่วยงานที่ยังไม่ได้อัปเดตระบบดังกล่าวมีความเสี่ยงสูงที่จะถูกโจมตีได้

ไทยเซิร์ตได้ตรวจสอบข้อมูลเพิ่มเติมร่วมกับนักวิจัยที่รายงานข้อมูลนี้ พบว่าหน่วยงานในไทยหลายแห่ง (ทั้งภาครัฐและเอกชน) มีความเสี่ยงที่จะถูกโจมตีได้ ผู้ดูแลระบบควรอัปเดต Webmin, Pulse Secure, และ Fortinet VPN เพื่อลดความเสี่ยงและผลกระทบ โดยสามารถตรวจสอบข้อมูลเพิ่มเติมได้จาก

05 2562

LibreOffice แก้ไขช่องโหว่ร้ายแรง แค่เปิดไฟล์ก็ถูกแฮกเครื่องได้ ควรอัปเดตเป็นเวอร์ชัน 6.2.6/6.3.0

ที่มา: https://www.thaicert.or.th/newsbite/2019-08-19-01.html#2019-08-19-01

LibreOffice เป็นชุดโปรแกรมสำนักงานแบบ open source ที่ได้รับความนิยมสูง ตัวโปรแกรม LibreOffice มีฟีเจอร์ LibreLogo ที่รองรับการเขียนสคริปต์ภาษา Python เพื่อวาดภาพกราฟิกได้ เมื่อปลายเดือนกรกฎาคม 2562 มีรายงานว่าฟีเจอร์ LibreLogo นั้นมีช่องโหว่ร้ายแรงที่ส่งผลให้หากเปิดไฟล์ที่มีโค้ดอันตรายฝังอยู่ก็อาจถูกแฮกควบคุมเครื่องได้ทันที เมื่อกลางเดือนสิงหาคม 2562 ทางผู้พัฒนา LibreOffice ได้ออกเวอร์ชันอัปเดต 6.2.6 และ 6.3.0 เพื่อแก้ไขช่องโหว่นี้แล้ว

เนื่องจากตัวอย่างโค้ดสำหรับโจมตีช่องโหว่ได้ถูกเผยแพร่สู่สาธารณะแล้ว ช่องทางการโจมตีทำได้ง่ายและมีโอกาสเกิดความเสียหายสูง ผู้ที่ใช้งานโปรแกรม LibreOffice ควรอัปเดตให้เป็นเวอร์ชันล่าสุดโดยเร็ว

05 2562

ผลสำรวจพบ ผู้ใช้ 71% เชื่อมต่อ Wi-Fi สาธารณะโดยไม่ตระหนักเรื่องความมั่นคงปลอดภัย เสี่ยงถูกขโมยข้อมูล

ที่มา: https://www.thaicert.or.th/newsbite/2019-08-05-01.html#2019-08-05-01

เมื่อวันที่ 1 สิงหาคม 2562 องค์กร DecisionData ได้เผยแพร่ผลสำรวจการเชื่อมต่อ Wi-Fi สาธารณะ โดยเป็นข้อมูลที่รวบรวมจากกลุ่มผู้ใช้งานในประเทศสหรัฐอเมริกาจำนวน 1,195 คนเป็นเวลากว่า 2 สัปดาห์ สถิติและแนวโน้มที่น่าสนใจมีดังนี้

ผู้ตอบแบบสอบถามจำนวน 82% ยอมรับว่าเชื่อมต่อ Wi-Fi สาธารณะที่เปิดให้ใช้งานได้ฟรี โดยในจำนวนนี้มีถึง 71% ที่ไม่ได้ตระหนักหรือมีความกังวลเรื่องความมั่นคงปลอดภัยในการใช้งานแต่อย่างใด ทั้งนี้ มีผู้ใช้เพียง 25% เท่านั้นที่ตอบว่ามีความตระหนักในการใช้งาน Wi-Fi ฟรี ซึ่งจากข้อมูลเหล่านี้จะเห็นได้ว่าผู้ใช้ส่วนใหญ่มีความเสี่ยงสูงที่จะถูกขโมยข้อมูลหรืออาจถูกโจมตีทางไซเบอร์ได้

ในการเปิดให้บริการจุดเชื่อมต่อ Wi-Fi ผู้ประสงค์ร้ายสามารถตั้งชื่อเครือข่ายให้คล้ายคลึงกับชื่อของ Wi-Fi สาธารณะที่เปิดใช้งานทั่วไปได้ เช่น ตั้งเป็นชื่อร้านกาแฟหรือผู้ให้บริการอินเทอร์เน็ต จุดประสงค์เพื่อหลอกผู้ใช้งานให้เข้ามาเชื่อมต่อ ความเสี่ยงของการใช้งาน Wi-Fi ประเภทนี้คืออาจถูกขโมยข้อมูล รวมทั้งอาจมีความเสี่ยงที่จะติดมัลแวร์หรือถูกโจมตีทางไซเบอร์อีกด้วย

แนวทางการป้องกัน ผู้ใช้ควรตระหนักถึงความเสี่ยงและพิจารณาก่อนเชื่อมต่อ Wi-Fi สาธารณะ หากจำเป็นต้องใช้อาจเชื่อมต่อผ่าน VPN เพื่อลดความเสี่ยงถูกดักขโมยข้อมูล รวมถึงไม่ควรใช้ Wi-Fi สาธารณะในการทำธุรกรรมทางการเงินผ่านช่องทางออนไลน์

05 2562

รัฐนอร์ทแคโรไลนาสูญเงินกว่า 1.7 ล้านเหรียญเพราะตกเป็นเหยื่ออีเมลหลอกให้โอนเงิน (BEC scam)

ที่มา: https://www.thaicert.or.th/newsbite/2019-08-02-01.html#2019-08-02-01

เมื่อวันที่ 29 กรกฎาคม 2562 คาบาร์รัสเคาน์ตี้ มณฑลหนึ่งในรัฐนอร์ทแคโรไลนาของสหรัฐอเมริกา ได้ประกาศว่าตกเป็นเหยื่อของการหลอกลวงจากเหตุสวมรอยอีเมลทางธุรกิจ (Business Email Compromise scam หรือ BEC scam) มูลค่าความเสียหายรวมกว่า 1.7 ล้านดอลลาร์สหรัฐฯ

สาเหตุเกิดจากเจ้าหน้าที่ของรัฐได้รับอีเมลที่อ้างว่าส่งมาจากบริษัทเอกชนที่เป็นคู่สัญญา แจ้งว่าขอเปลี่ยนสาขาและเลขบัญชีที่ใช้รับเงินค่าก่อสร้างโรงเรียน โดยหลังจากได้รับอีเมลดังกล่าว ทางเจ้าหน้าที่ได้เปลี่ยนเลขบัญชีในระบบโดยไม่ได้โทรศัพท์ไปสอบถามยืนยันกับทางบริษัทแต่อย่างใด ในเวลาต่อมาเจ้าหน้าที่ได้โอนเงินออกไปยังบัญชีดังกล่าวรวมกว่า 2.5 ล้านดอลลาร์สหรัฐฯ โดยหลังจากที่โอนเงินออกไปแล้วเป็นระยะเวลาหนึ่งทางบริษัทได้โทรมาสอบถามเนื่องจากยังไม่ได้รับเงิน ทางรัฐได้ตรวจสอบจึงได้ทราบว่าถูกหลอกลวง เนื่องจากเงินที่ธนาคารสามารถอาญัติและการคุ้มครองจากบริษัทที่ทางรัฐได้ทำประกันไว้นั้นสามารถชดเชยค่าเสียหายได้รวมแล้วแค่ 7.7 แสนดอลลาร์ ทำให้เงินส่วนที่เหลือคือ 1.7 ล้านดอลลาร์นั้นไม่สามารถเรียกคืนได้

กรณีการส่งอีเมลปลอมเพื่อหลอกให้โอนเงินในลักษณะ BEC scam นั้นเป็นเรื่องที่เกิดขึ้นอยู่บ่อยครั้งและยังคงมีการรายงานและแจ้งเตือนกันอยู่เรื่อยๆ ซึ่งสาเหตุหลักเกิดจากอีเมลที่ใช้ติดต่อทางธุรกิจ (ของฝั่งใดฝั่งหนึ่งหรือทั้งสองฝั่ง) ถูกผู้ไม่หวังดีเข้าถึงและอ่านเนื้อหาในอีเมลได้ และผู้ไม่หวังดีได้สวมรอยบัญชีอีเมลนั้นหรือสร้างอีเมลใหม่ที่ตั้งชื่อคล้ายกับบัญชีเดิมแล้วสวมรอยเข้ามาคุยเพื่อหลอกให้โอนเงินไปอีกบัญชี

แนวทางการป้องกันไม่ให้ตกเป็นเหยื่อ BEC scam ทำได้โดยการตั้งรหัสผ่านบัญชีอีเมลให้คาดเดาได้ยาก รวมถึงเปิดใช้งานการล็อกอินแบบ 2 ชั้น หากได้รับอีเมลที่มีลักษณะแจ้งเปลี่ยนบัญชีที่ใช้โอนเงิน ควรตรวจสอบยืนยันความถูกต้องเช่นโทรศัพท์สอบถามกับผู้ติดต่อของบริษัทนั้นๆ ก่อนดำเนินการใดๆ