ThaiCERT ข้อมูลการติดต่อ, แผนที่และเส้นทาง,แบบฟอร์มการติดต่อ,เวลาเปิดและปิด, การบริการ,การให้คะแนนความพอใจในการบริการ,รูปภาพทั้งหมด,วิดีโอทั้งหมดและข่าวสารจาก ThaiCERT, หน่วยงานราชการ, อาคารรัฐประศาสนภักดี (อาคารบี) ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550, Bangkok.

ThaiCERT is the Computer Security Incident Response Team (CSIRT) for Thailand and provides an official point of contact for dealing with computer security incidents in Thai Internet community. Founded in 2000 by National Electronics and Computer Technology Center (NECTEC) under Ministry of Science and Technology, ThaiCERT has been the first and only non-profit CSIRT in Thailand. In February 2011,

by the resolution of Thai cabinet ThaiCERT operations were transferred to a new administrative team in a new public organization named Electronic Transactions Development Agency (ETDA) under the supervision of Ministry of Information and Communication Technology. ThaiCERT collaborates with Thai government sector, organizations, universities, ISPs and other relevant entities to handle computer security incidents in Thailand. Additionally, as a full and active member of Forum of Incident Response and Security Teams (FIRST) and Asia Pacific Computer Emergency Response Team (APCERT), ThaiCERT coordinates with both globally and regionally trusted CSIRTs in responding to computer security incidents.

สกมช. ร่วมผลักดันกำลังคนไซเบอร์ ในกิจกรรมเปิดภาคเรียน 42 บางกอก
25/08/2023

สกมช. ร่วมผลักดันกำลังคนไซเบอร์ ในกิจกรรมเปิดภาคเรียน 42 บางกอก

📢[⚪️⚪️⚪️] บริษัท Hosting กล่าวว่าข้อมูลลูกค้าทั้งหมดสูญหายหลังจากถูกโจมตีด้วยแรนซัมแวร์บริษัท Hosting ของเดนมาร์กจำนวน 2...
24/08/2023

📢[⚪️⚪️⚪️] บริษัท Hosting กล่าวว่าข้อมูลลูกค้าทั้งหมดสูญหายหลังจากถูกโจมตีด้วยแรนซัมแวร์

บริษัท Hosting ของเดนมาร์กจำนวน 2 บริษัทประสบปัญหาการถูกโจมตีด้วยแรนซัมแวร์ ทำให้ข้อมูลลูกค้าส่วนใหญ่สูญหาย ทำให้ผู้ให้บริการ Hosting ปิดระบบทั้งหมด รวมถึงเว็บไซต์ อีเมลของลูกค้า โดยบริษัท Hosting CloudNordic และ AzeroCloud ทั้งสองแบรนด์เป็นของบริษัทเดียวกัน ซึ่งการโจมตีนี้เกิดขึ้นเมื่อคืนวันศุกร์ที่ผ่านมาและมีคำแถลงของบริษัทชี้แจงว่าจะไม่จ่ายค่าไถ่แก่ผู้โจมตี และบริษัทได้ร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยแล้วและมีการรายงานเหตุการณ์ดังกล่าวให้ตำรวจทราบ

จากสถานการณ์ดังกล่าว ผู้ให้บริการ Hosting ทั้งสองราย แนะนำให้ลูกค้าที่ได้รับผลกระทบหนักย้ายไปใช้งานกับผู้ให้บริการรายอื่น เช่น Powernet และ Nordicway โดยที่สื่อในเดนมาร์กได้รายงานว่าการโจมตีดังกล่าวส่งผลกระทบต่อบริษัทในเดนมาร์กหลายร้อยแห่ง ที่ต้องสูญเสียข้อมูลที่เก็บไว้บนคลาวด์ รวมถึงเว็บไซต์ กล่องจดหมายอีเมล เอกสาร ฯลฯ ซึ่งการกำหนดเป้าหมายไปยังผู้ให้บริการ Hosting เป็นวิธีที่กลุ่มแรนซัมแวร์ในอดีตใช้ เนื่องจากจะสร้างความเสียหายขนาดใหญ่แล้วสามารถโจมตีเหยื่อได้จำนวนมากในการโจมตีเพียงครั้งเดียว จากเหตุการณ์ดังกล่าวมีผู้เสียหายจำนวนมากที่ตกเป็นเหยื่อ ทำให้ผู้ให้บริการมีแรงกดดันอย่างมากในการจ่ายค่าไถ่เพื่อฟื้นฟูการดำเนินงาน และเพื่อหลีกเลี่ยงการถูกฟ้องจากลูกค้าที่ทำข้อมูลสูญหาย
แหล่งข่าว [ https://www.bleepingcomputer.com/news/security/hosting-firm-says-it-lost-all-customer-data-after-ransomware-attack/ ]

Danish hosting firms CloudNordic and AzeroCloud have suffered ransomware attacks, causing the loss of the majority of customer data and forcing the hosting providers to shut down all systems, including websites, email, and customer sites.

📢[⚪️⚪️⚪️] FBI พบ Bitcoin 1,580 Bitcoin ในกระเป๋าเงิน Crypto ที่เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือสำนักงานสืบสวนกลางแห่งสหรั...
24/08/2023

📢[⚪️⚪️⚪️] FBI พบ Bitcoin 1,580 Bitcoin ในกระเป๋าเงิน Crypto ที่เชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาได้เผยแพร่ข้อมูลเกี่ยวกับกระเป๋าเงินดิจิทัลที่มีความเชื่อมโยงกับแฮกเกอร์เกาหลีเหนือ FBI กล่าวว่ามีการถือครอง Bitcoin ประมาณ 1,580 Bitcoin ที่อาจเกี่ยวข้องกับการขโมยสินทรัพย์ดิจิทัลมูลค่าหลายร้อยล้านดอลลาร์เมื่อเร็ว ๆ นี้ โดยที่ FBI ได้ติดตามสกุลเงินดิจิทัลที่ถูกขโมยโดยกลุ่ม TraderTraitor (หรือที่รู้จักในชื่อ Lazarus Group และ APT38 ) ของสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) ซึ่งเชื่อว่าอาจจะพยายามนำ Bitcoin ออกมาเป็นมูลค่ามากกว่า 40 ล้านดอลลาร์

ตามข้อมูลกล่าวว่ากลุ่มแฮกเกอร์ในเครือ TraderTraitor ได้ขโมยเงินดิจิทัลจำนวน 60 ล้านดอลลาร์และ 37 ล้านดอลลาร์จาก Alphapo และ CoinsPaid เมื่อเดือนกรกฎาคม และ 100 ล้านดอลลาร์จาก Atomic Wallet ในเดือนมิถุนายน โดยเมื่อเดือนเมษายน 2023 รัฐบาลสหรัฐฯได้เตือนว่า Lazarus Group ที่มีความเชื่อมโยงกับเกาหลีเหนือ ได้ทำการโจมตีทางไซเบอร์จำนวนมาก ซึ่งกำหนดเป้าหมายไปที่หน่วยงานและการแลกเปลี่ยนในอุตสาหกรรมบล็อกเชนและสกุลเงินดิจิทัลเพื่อทำการฟอกเงิน

แหล่งข่าว [ https://www.securityweek.com/fbi-finds-1580-bitcoin-in-crypto-wallets-linked-to-north-korean-hackers/ ]

The FBI has published information on six crypto wallets in which North Korean hackers moved roughly 1,580 Bitcoin from various heists.

📢[⚪️⚪️⚪️] CISA แจ้งเตือนถึงช่องโหว่ Adobe ColdFusion อาจถูกใช้ประโยชน์หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้น...
23/08/2023

📢[⚪️⚪️⚪️] CISA แจ้งเตือนถึงช่องโหว่ Adobe ColdFusion อาจถูกใช้ประโยชน์

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกเตือนองค์กรต่างๆ ว่าช่องโหว่ Adobe ColdFusion ที่ได้รับแพตช์ไปเมื่อต้นปีนี้ อาจถูกใช้ประโยชน์ในการโจมตีที่ช่องโหว่หมายเลข CVE-2023-26359 โดยที่ CISA ได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities (KEV) เมื่อวันจันทร์ที่ผ่านมา

Adobe ได้แก้ไขช่องโหว่ด้วยการออกอัปเดต Patch Tuesday ประจำเดือนมีนาคม 2023 ซึ่งระบุว่าช่องโหว่ CVE-2023-26359 เป็นปัญหาสำคัญในการ deserialization ข้อมูลซึ่งสามารถนำไปใช้ประโยชน์ในการ arbitrary code ex*****on


CISA ได้สั่งให้องค์กรภาครัฐให้แก้ไขช่องโหว่ภายในวันที่ 11 กันยายน และหน่วยงานของรัฐจะต้องแก้ไขช่องโหว่ที่เพิ่มลงใน catalog ตาม Binding Operational Directive (BOD) 22-01 เพื่อลดความเสี่ยงที่เกิดจากช่องโหว่ ซึ่งปัจจุบัน catalog KEV ของ CISA มีช่องโหว่ ColdFusion จำนวน 12 รายการ รวมถึงช่องโหว่สี่รายการที่ค้นพบในปีนี้ โดยในขณะนี้จะไม่มีข้อมูลเกี่ยวกับการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2023-26359 แต่ช่องโหว่ของ Adobe ColdFusion อาจถูกใช้ประโยชน์จากผู้คุกคามประเภทต่างๆ ในการดำเนินงานได้

แหล่งข่าว [ https://www.securityweek.com/cisa-warns-of-another-exploited-adobe-coldfusion-vulnerability/ ]

CISA warns that CVE-2023-26359, an Adobe ColdFusion vulnerability patched in March, has been exploited in the wild.

📢[⚪️⚪️⚪️] กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้างว่าได้ทำการแฮ็กกระทรวงกลาโหมของแอฟริกาใต้กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้า...
23/08/2023

📢[⚪️⚪️⚪️] กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้างว่าได้ทำการแฮ็กกระทรวงกลาโหมของแอฟริกาใต้

กลุ่มมัลแวร์เรียกค่าไถ่ Sn**ch อ้างว่าได้ทำการแฮ็กกระทรวงกลาโหมแอฟริกาใต้ และได้เพิ่มกระทรวงกลาโหมแอฟริกาใต้ลงในเว็บไซต์การรั่วไหลข้อมูล โดยกลุ่มนี้อ้างว่าได้ทำการขโมยสัญญาทางทหาร สัญญาณโทรศัพท์ภายใน และข้อมูลส่วนบุคคล รวมเป็นข้อมูลขนาด 1.6 TB ซึ่งหากมีการเปิดเผยข้อมูลดังกล่าว ที่เป็นความลับทางทหารจะก่อให้เกิดความเสี่ยงร้ายแรงต่อองค์กรที่เกี่ยวข้องกับสัญญาดังกล่าว

Sn**ch ransomware ถูกพบครั้งแรกในปลายปี 2019 โดยนักวิจัยของบริษัท Sophos เป็นผู้ค้นพบ Sn**ch ransomware ที่จะทำการรีบูทคอมพิวเตอร์ที่ติดไวรัสใน Safe Mode เพื่อเลี่ยงผ่านโซลูชันทางด้านการรักษาความปลอดภัยของระบบ โดยในเดือนตุลาคม 2022 กลุ่ม มัลแวร์เรียกค่าไถ่ Sn**ch ก็อ้างว่าได้ทำการโจมตีบริษัท HENSOLDT France ในฝรั่งเศสได้สำเร็จเช่นกัน ซึ่ง HENSOLDT ก็เป็นบริษัทที่เชี่ยวชาญด้านอุปกรณ์อิเล็กทรอนิกส์ทางการทหารและการป้องกันประเทศ

แหล่งข่าว [ https://securityaffairs.com/149760/cyber-crime/snatch-ransomware-department-of-defence-south-africa.html ]

Sn**ch gang claims the hack of the Department of Defence South Africa and added the military organization to its leak site.

📢[⚪️⚪️⚪️] Seiko ผู้ผลิตนาฬิกาญี่ปุ่นถูกเจาะระบบจากกลุ่ม BlackCat ransomware กลุ่ม BlackCat/ALPHV ransomware ได้ลงรายการข...
22/08/2023

📢[⚪️⚪️⚪️] Seiko ผู้ผลิตนาฬิกาญี่ปุ่นถูกเจาะระบบจากกลุ่ม BlackCat ransomware

กลุ่ม BlackCat/ALPHV ransomware ได้ลงรายการของ Seiko บนเว็บไซต์กรรโชกทรัพย์ ซึ่งอ้างถึงการโจมตีทางไซเบอร์ที่เปิดเผยข้อมูลบริษัทญี่ปุ่นเมื่อต้นเดือนนี้ โดยที่ Seiko เป็นหนึ่งในผู้ผลิตนาฬิการายใหญ่ที่สุดและมีประวัติศาสตร์ยาวนานที่สุดในโลก มีพนักงานประมาณ 12,000 คน และรายได้ต่อปีที่สูงกว่า 1.6 พันล้านดอลลาร์

Seiko ได้ยืนยันว่าเมื่อวันที่ 28 กรกฎาคม บริษัทประสบกับการละเมิดข้อมูล โดยมีบุคคลหรือกลุ่มบางกลุ่มที่ไม่ได้ระบุตัวตนได้มีการเข้าถึงเซิร์ฟเวอร์ อย่างน้อยหนึ่งเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต และในวันที่ 2 สิงหาคม Seiko ได้จ้างทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อตรวจสอบและประเมินสถานการณ์ และ Seiko ขออภัยต่อลูกค้าที่อาจได้รับผลกระทบและขอให้ระมัดระวังอีเมลหรือช่องทางการติดต่ออื่นๆ ที่อาจแอบอ้างเป็น Seiko

โดยกลุ่ม BlackCat ransomware อ้างว่าเป็นผู้โจมตี Seiko โดยได้โพสต์ตัวอย่างข้อมูลที่อ้างว่าได้ขโมยออกไประหว่างการโจมตี ได้อ้างว่าข้อมูลที่รั่วไหลเป็นข้อมูลแผนการผลิต การสแกนหนังสือเดินทางของพนักงาน แผนการออกรุ่นใหม่ และผลการทดสอบในห้องปฏิบัติการเฉพาะทาง และตัวอย่างที่สำคัญกลุ่มผู้โจมตีที่อ้างคือแผนงานทางเทคนิคที่เป็นความลับและการออกแบบของนาฬิกา Seiko หากมีการเปิดเผยจะก่อให้เกิดความเสียหาย

แหล่งข่าว [ https://www.bleepingcomputer.com/news/security/japanese-watchmaker-seiko-breached-by-blackcat-ransomware-gang/ ]

The BlackCat/ALPHV ransomware gang has added Seiko to its extortion site, claiming responsibility for a cyberattack disclosed by the Japanese firm earlier this month.

📢[⚪️⚪️⚪️] อิสราเอลและสหรัฐฯ จะลงทุน 3.85 ล้านดอลลาร์สำหรับโปรเจค BIRD Cyber Program เพื่อการปกป้องโครงสร้างพื้นฐานที่สำค...
22/08/2023

📢[⚪️⚪️⚪️] อิสราเอลและสหรัฐฯ จะลงทุน 3.85 ล้านดอลลาร์สำหรับโปรเจค BIRD Cyber Program เพื่อการปกป้องโครงสร้างพื้นฐานที่สำคัญ

อิสราเอลและสหรัฐฯ ประกาศว่ากำลังจะมีโครงการ BIRD Cyber ซึ่งเป็นการลงทุนประมาณ 4 ล้านดอลลาร์ เพื่อเพิ่มความสามารถของโครงสร้างพื้นฐานที่สำคัญ ในการตอบสนองต่อภัยคุกคามทางไซเบอร์ รวมถึงการกู้คืนระบบให้กลับมาเป็นปกติ (Cyber Resilience)

โครงการ BIRD Cyber เป็นความคิดริเริ่มร่วมกันของ Israel National Cyber Directorate (INCD), Israel-US Binational Industrial Research and Development (BIRD) Foundation และ US Department of Homeland Security (DHS) Science and Technology Directorate (S&T) เพื่อส่งเสริมโครงการในการเพิ่ม Cyber Resilience ของโครงสร้างพื้นฐานที่สำคัญในทั้งสองประเทศ โดยโครงการนี้จัดการโดยมูลนิธิ BIRD ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่สนับสนุนกิจกรรมการวิจัยร่วมกันระหว่างองค์กรของอิสราเอลและอเมริกา ความคิดริเริ่มนี้มีแผนที่จะลงทุน 3.85 ล้านดอลลาร์ในโครงการต่างๆ เพื่อพัฒนาโซลูชั่นการป้องกันที่ล้ำสมัย โดยโครงการ BIRD Cyber จะมอบทุนสำหรับโครงการที่เกี่ยวข้องกับภาคการเดินเรือ สนามบินและการจราจรทางอากาศ และระบบควบคุมอุตสาหกรรม (ICS) ดังนี้
1. Rescana (Tel-Aviv, Israel) และTrend Micro (Irving, TX) – ซึ่งจะพัฒนาความสามารถในการปฏิบัติการข่าวกรองภัยคุกคามทางไซเบอร์เพื่อแจ้งการตัดสินใจทางทะเลเกี่ยวกับความเสี่ยงทางไซเบอร์
2. Salvador Technologies (Rehovot, Israel) และBastazo (Fayetteville, AR) – ซึ่งจะพัฒนาโซลูชันสำหรับการจัดการช่องโหว่ของ Industrial Control Systems (ICS) การตรวจสอบ และการกู้คืนอย่างรวดเร็วจากการโจมตีทางไซเบอร์
3. Cyber 2.0 (Rishon Letzion, Israel) และCincinnati / Northern Kentucky International Airport (Hebron, KY) ซึ่งจะพัฒนาแพลตฟอร์มสำหรับสนามบินและการจราจรทางอากาศ การตรวจจับการรับส่งข้อมูลเพื่อลดความเสี่ยงและเพิ่มการปฏิบัติตามกฎระเบียบ
4. พัฒนาโซลูชันการป้องกันทางไซเบอร์ของสนามบินทั่วทั้งพื้นผิวการโจมตี

แหล่งข่าว [ https://securityaffairs.com/149703/security/bird-cyber-program.html ]

Israel and US governments announced the BIRD Cyber Program, an investment of roughly $4M in projects to enhance the cyber resilience of critical infrastructure.

📢[⚪️⚪️⚪️] ช่องโหว่ WinRAR ช่วยให้สามารถเรียกใช้รหัสจากระยะไกลโดยพลการWinRAR เป็น utility บีบอัดไฟล์และเก็บถาวรสำหรับระบบ...
21/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ WinRAR ช่วยให้สามารถเรียกใช้รหัสจากระยะไกลโดยพลการ

WinRAR เป็น utility บีบอัดไฟล์และเก็บถาวรสำหรับระบบปฏิบัติการ Windows โดย utility ได้รับผลกระทบจากช่องโหว่ที่มีความรุนแรงสูงซึ่งได้มีการแก้ไขแล้วในขณะนี้ ที่หมายเลข CVE-2023-40477 ( คะแนน CVSS 7.8 ) ที่สามารถอนุญาตให้เรียกใช้รหัสจากระยะไกลบนคอมพิวเตอร์โดยการเปิดไฟล์เก็บถาวร RAR ที่สร้างขึ้น

โดยนักวิจัย "goodbyeselene“ ของ Zero Day Initiative ได้รายงานช่องโหว่ดังกล่าวไปยัง RARLAB เมื่อวันที่ 8 มิถุนายน 2023 ว่าช่องโหว่ดังกล่าวสามารถทำให้ผู้โจมตีจากระยะไกลสามารถรันรหัสโดยพลการ ในการติดตั้ง RARLAB WinRAR ซึ่งการโต้ตอบกับผู้ใช้เป็นสิ่งสำคัญสำหรับการใช้ประโยชน์จากช่องโหว่นี้ เป้าหมายเป็นเว็บที่เป็นอันตรายหรือเปิดไฟล์ที่เป็นอันตราย และช่องโหว่เกิดจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่ได้รับจากผู้ใช้ ซึ่งอาจส่งผลให้การเข้าถึงหน่วยความจำนอกเหนือ buffer ที่จัดสรรไว้ ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อรันรหัส


WinRAR แก้ไขช่องโหว่ด้วยการเปิดตัวเวอร์ชัน 6.23 และแนะนำให้ผู้ใช้งาน WINRAR ทำการอัปเดตการติดตั้งก่อนที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่ในการโจมตีดังกล่าว

แหล่งข่าว [ https://securityaffairs.com/149670/hacking/winrar-rce.html ]

A flaw impacting the file archiver utility for Windows WinRAR can allow the ex*****on of commands on a computer by opening an archive.

📢[⚪️⚪️⚪️] ช่องโหว่ใหม่ในอุปกรณ์ Juniper Junos OS ทำให้ถูกโจมตีจากระยะไกลได้ ควรแพทช์ทันทีบริษัท Juniper Networks ผู้ผลิต...
21/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ใหม่ในอุปกรณ์ Juniper Junos OS ทำให้ถูกโจมตีจากระยะไกลได้ ควรแพทช์ทันที

บริษัท Juniper Networks ผู้ผลิตอุปกรณ์ระบบเครือข่าย ได้ออกอัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่หลายจุดในคอมโพเนนต์ J-Web ของ Junos OS ที่สามารถรวมเข้าด้วยกันเพื่อให้เกิดการเรียกใช้โค้ดจากระยะไกลในการติดตั้งที่ไม่มีความมั่นคง โดยช่องโหว่ทั้ง 4 ได้แก่ CVE-2023-36844และ CVE-2023-36845 CVE-2023-36846 และ CVE-2023-36847 มีคะแนน CVSS ที่ 9.8 ซึ่งเป็นความรุนแรงระดับวิกฤต มีผลกับ Junos OS ทุกรุ่นบน SRX และ EX Series โดยช่องโหว่ได้รับการแก้ไขในเวอร์ชัน ดังนี้

EX Series - Junos OS เวอร์ชัน 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4 R3 และ 23.2R1

SRX Series - Junos OS เวอร์ชัน 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4 R3 และ 23.2R1

ดังนั้นจึงขอแนะนำให้ผู้ใช้งานทำการแพทช์แก้ไขช่องโหว่ เพื่อลดภัยคุกคามจากการเรียกใช้โค้ดจากระยะไกลที่อาจเกิดขึ้น วิธีแก้ปัญหา Juniper Networks แนะนำให้ผู้ใช้ปิดการใช้งาน J-Web หรือจำกัดการเข้าถึงเฉพาะโฮสต์ที่เชื่อถือได้เท่านั้น

แหล่งข่าว [ https://thehackernews.com/2023/08/new-juniper-junos-os-flaws-expose.html ]

JuniperNetworks released an "out-of-cycle" security patch for Junos OS. Attackers could remotely execute code by chaining these vulnerabilities.

📢[⚪️⚪️⚪️] Clorox Company ผู้ผลิตผลิตภัณฑ์ทำความสะอาดได้ปิดระบบบางส่วนหลังจากถูกโจมตีทางไซเบอร์บริษัท Clorox Company ได้ต...
18/08/2023

📢[⚪️⚪️⚪️] Clorox Company ผู้ผลิตผลิตภัณฑ์ทำความสะอาดได้ปิดระบบบางส่วนหลังจากถูกโจมตีทางไซเบอร์

บริษัท Clorox Company ได้ตกเป็นเหยื่อของเหตุการณ์ทางไซเบอร์และทำการปิดระบบบางส่วนเพื่อตอบสนองต่อการโจมตีทางไซเบอร์ โดย Clorox Company เป็นบริษัทข้ามชาติเกี่ยวกับสินค้าอุปโภคบริโภคที่เชี่ยวชาญด้านการผลิตและการตลาดของผลิตภัณฑ์ทำความสะอาดในครัวเรือน

จากเหตุการณ์การโจมตีบริษัทได้ทำการตอบสนองต่อการโจมตีทางไซเบอร์ ซึ่งบริษัทได้ปิดระบบบางส่วนเพื่อออฟไลน์ ในขณะที่ได้เพิ่มมาตรการป้องกันเพื่อรักษาความปลอดภัยเพิ่มเติม โดยที่ Clorox ได้แจ้งใช้กฎหมายและจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำเพื่อทำการสืบสวนและกำหนดขอบเขตของเหตุการณ์ ซึ่งขณะนี้ยังไม่เป็นที่แน่ชัดว่าผู้โจมตีได้ขโมยข้อมูลของบริษัทหรือไม่

นอกจากนี้ บริษัทยังได้ประกาศจะแก้ไขปัญหาชั่วคราวด้วยการทำงานแบบออฟไลน์เพื่อให้บริการลูกค้าต่อไป ซึ่งบริษัทยังไม่ได้เปิดเผยรายละเอียดของการโจมตี แต่การตอบสนองต่อเหตุการณ์ชี้ว่าอาจตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

แหล่งข่าว [ https://securityaffairs.com/149585/cyber-crime/clorox-company-cyber-attack.html ]

Cleaning products manufacturer Clorox Company announced that it has taken some systems offline in response to a cyberattack.

📢[⚪️⚪️⚪️] แคมเปญฟิชชิ่งขนาดใหญ่ที่ใช้คิวอาร์โค้ด กำหนดเป้าหมายภาคพลังงานรายงานจากบริษัทด้านความปลอดภัยทางไซเบอร์ Cofense...
18/08/2023

📢[⚪️⚪️⚪️] แคมเปญฟิชชิ่งขนาดใหญ่ที่ใช้คิวอาร์โค้ด กำหนดเป้าหมายภาคพลังงาน

รายงานจากบริษัทด้านความปลอดภัยทางไซเบอร์ Cofense พบว่ามีแคมเปญฟิชชิงที่ใช้คิวอาร์โค้ด ที่กำหนดเป้าหมายไปยังบริษัทพลังงานชั้นนำในสหรัฐอเมริกา เพื่อขโมยข้อมูลประจำตัวของ Microsoft ของผู้ใช้จากหลายอุตสาหกรรม โดยลิงก์ส่วนใหญ่ที่รวมอยู่ในข้อความฟิชชิ่งจะประกอบด้วย Bing redirect URL โดเมนที่โดดเด่นอื่นๆ ได้แก่ krxd[.]com (เชื่อมโยงกับแอปพลิเคชัน Salesforce) และ cf-ipfs[.]com (บริการ Web3 ของ Cloudflare) โดยการใช้คิวอาร์โค้ด นั้น มีข้อดีมากกว่าการแนบลิงก์ฟิชชิ่งที่ฝังโดยตรงในข้อความอีเมล สิ่งที่สำคัญที่สุดคือความสามารถในการข้ามโซลูชั่นป้องกันฟิชชิ่ง เนื่องจากลิงก์ฟิชชิ่งถูกซ่อนอยู่ในรูปภาพคิวอาร์โค้ด โดยนักวิจัยสังเกตเห็นเปอร์เซ็นต์การเติบโตของแคมเปญนี้ เฉลี่ยต่อเดือนมากกว่า 270% แคมเปญโดยรวมเพิ่มขึ้นมากกว่า 2,400% ตั้งแต่เดือนพฤษภาคม 2023

นักวิจัยกล่าวว่านี่เป็นแคมเปญที่ใหญ่ที่สุดที่เคยใช้คิวอาร์โค้ด ซึ่งถูกสังเกตโดย Cofense ซึ่งเป็นสถานการณ์ที่ชี้ให้เห็นว่าผู้คุกคามกำลังทดสอบประสิทธิภาพของคิวอาร์โค้ด โดยข้อความฟิชชิงที่ใช้ในแคมเปญนี้ ประกอบด้วยไฟล์ภาพ PNG หรือไฟล์ PDF ที่มีคิวอาร์โค้ด เนื้อหาของข้อความพยายามหลอกลวงให้ผู้รับสแกนรหัสเพื่อยืนยันบัญชีของตน โดยข้อความในอีเมลจะกระตุ้นให้ผู้รับรีบเร่งดำเนินการตามขั้นตอนให้เสร็จสิ้นภายใน 2-3 วัน ทั้งนี้ ผู้เชี่ยวชาญเตือนว่าภาคพลังงานเป็นจุดสนใจหลักของแคมเปญนี้ ตามมาด้วยภาคการผลิตและภาคการประกันภัย

แหล่งข่าว [ https://securityaffairs.com/149567/hacking/phishing-campaign-qr-codes.html ]

A phishing campaign employing QR codes targeted a leading energy company in the US, cybersecurity firm Cofense reported.

📢[⚪️⚪️⚪️] stack buffer overflow ที่ไม่ผ่านการรับรองความถูกต้องสองรายการถูกพบใน EMM ของ Ivanti Avalancheนักวิจัยค้นพบ sta...
17/08/2023

📢[⚪️⚪️⚪️] stack buffer overflow ที่ไม่ผ่านการรับรองความถูกต้องสองรายการถูกพบใน EMM ของ Ivanti Avalanche

นักวิจัยค้นพบ stack buffer overflow จำนวนสองรายการที่หมายเลขช่องโหว่ CVE-2023-32560 ( CVSS v3: 9.8 ) ที่ส่งผลกระทบต่อโซลูชัน Enterprise Mobility Management (EMM) ออกแบบมาเพื่อจัดการ ตรวจสอบ และรักษาความปลอดภัยอุปกรณ์พกพาหลากหลายประเภท ของ Ivanti Avalanche ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ช่องโหว่ในการ execute arbitrary code บนระบบได้ ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ Ivanti Avalanche WLAvanacheServer.exe เวอร์ชัน 6.4.0.0 และเวอร์ชันที่เก่ากว่า

ช่วงลำดับเวลาของการเปิดเผยข้อมูล :
- 4 เมษายน 2023 - รายงานปัญหา
- 12 เมษายน 2023 - Tenable ยืนยันว่าได้รับรายงานแล้ว
- 12 เมษายน 2023 - Ivanti ยืนยันว่าปัญหากำลังตรวจสอบ
- 13 เมษายน 2023 - Ivanti ขอ poc
- 13 เมษายน 2023 - Tenable บันทึก poc ต้องถูกลบออกจากรายงานเริ่มต้น ส่ง PoC
- 19 เมษายน 2023 - Ivanti ยืนยันปัญหาและระบุว่ากำลังดำเนินการแก้ไข
- 22 มิถุนายน 2023 - Ivanti ตั้งข้อสังเกตว่าการแก้ไขอาจไม่ทันในเวลา 90 วัน
- 28 มิถุนายน 2023 - Tenable ขยายเวลาการเปิดเผยข้อมูล
- 20 กรกฎาคม 2023 - Ivanti แจ้ง Tenable ว่าการแก้ไขจะพร้อมใช้งานในวันที่ 1 สิงหาคม และได้กำหนด CVE-2023-32560
- 14 สิงหาคม 2023 - คำแนะนำเบื้องต้นได้รับเผยแพร่

โดยนักวิจัย Tenable ได้สร้าง proof-of-concept และแบ่งปันกับผู้ขายเมื่อวันที่ 13 เมษายน 2023 และ Ivanti ได้แก้ไขช่องโหว่ในวันที่ 3 สิงหาคม 2023 ด้วยการเปิดตัว Avalanche เวอร์ชัน 6.4.1

แหล่งข่าว [ https://securityaffairs.com/149561/hacking/ivanti-avalanche-buffer-overflow-bugs.html ]

Ivanti Avalanche EMM product is impacted by two buffer overflows collectively tracked as CVE-2023-32560.

📢[⚪️⚪️⚪️] ตู้ ATM ของธนาคารแห่งประเทศไอร์แลนด์เกิดข้อผิดพลาดแจกเงินฟรีความผิดพลาดของธนาคารแห่งประเทศไอร์แลนด์ทำให้แจกเงิ...
17/08/2023

📢[⚪️⚪️⚪️] ตู้ ATM ของธนาคารแห่งประเทศไอร์แลนด์เกิดข้อผิดพลาดแจกเงินฟรี

ความผิดพลาดของธนาคารแห่งประเทศไอร์แลนด์ทำให้แจกเงินฟรีครั้งนี้ที่ได้รับการแก้ไขแล้ว แต่ส่งผลให้ตู้ ATM ทั่วประเทศ มีผู้คนมาต่อแถวยาว เนื่องจากลูกค้าสามารถถอนเงินได้มากกว่าเงินที่มีอยู่ในบัญชี

เมื่อวันอังคารพบว่ามีผู้คนมาต่อคิวนอกธนาคารแห่งไอร์แลนด์ หลังจากเกิดข้อผิดพลาดในระบบซึ่งทำให้ลูกค้าของธนาคารสามารถถอนเงินออกมาได้โดยที่ไม่ส่งผลกระทบต่อยอดเงินในบัญชีของพวกเขา โดยธนาคารออกมายอมรับความผิดพลาดเมื่อวันพุธ โดยกล่าวว่าปัญหาได้รับการแก้ไขแล้ว แต่หลังจากที่มีการถอนเงินออกไปทำให้ต้องมีตำรวจออกไปเฝ้าอยู่บริเวณตู้ ATM ทั่วประเทศ โดยปัญหานี้เกิดขึ้นครั้งแรกในช่วงบ่ายวันอังคาร เมื่อพวกเขาได้รายงานว่าไม่สามารถเข้าถึงบริการธนาคารออนไลน์ได้ ดังนั้น จึงไม่สามารถโอนเงินหรือชำระเงินสำหรับการทำธุรกรรมได้ แต่ปัญหาไม่ได้หยุดเพียงแค่นั้น เนื่องจากลูกค้าได้ถอนเงินออกไปเกินจำนวนที่มีอยู่ในบัญชี แม้ว่าธนาคารแห่งประเทศไอร์แลนด์จะออกมาเตือนในโพสต์ Twitter เมื่อเย็นวันอังคารแล้วก็ตาม ว่าหากลูกค้าทำการโอนหรือถอนเงิน รวมแล้วเกินวงเงินที่มีอยู่ เงินก็นี้จะถูกหักออกจากบัญชีของพวกเขาในภายหลัง

ทั้งนี้ โฆษกของธนาคารแห่งประเทศไอร์แลนด์ กล่าวในแถลงการณ์ว่า ปัญหาทางเทคนิคนี้ได้รับการแก้ไขในชั่วข้ามคืน และ “เราขอให้ลูกค้ารายใดก็ตามที่อาจประสบปัญหาทางการเงินเนื่องจากการถอนเงินมากเกินไปในบัญชีของพวกเขา ติดต่อเรา” เขากล่าวเสริมว่า “เราต้องขออภัยอย่างจริงใจสำหรับความขัดข้องที่เกิดขึ้น เราทราบดีว่าเราทำได้ต่ำกว่ามาตรฐานที่ลูกค้าคาดหวังจากเรามาก”

แหล่งข่าว [ https://gizmodo.com/bank-of-ireland-atm-glitch-hands-out-free-money-1850742692 ]

A now-resolved glitch at the Bank of Ireland resulted in long lines at ATMs across the country as customers withdrew more money than they had in their accounts.

📢[⚪️⚪️⚪️] Colorado HCPF Department แจ้งเตือนบุคคล 4 ล้านคน หลังจากเหตุการณ์ละเมิด IBM MOVEitColorado Department of Healt...
16/08/2023

📢[⚪️⚪️⚪️] Colorado HCPF Department แจ้งเตือนบุคคล 4 ล้านคน หลังจากเหตุการณ์ละเมิด IBM MOVEit

Colorado Department of Health Care Policy & Financing (HCPF) ได้เปิดเผยการถูกโจมตีด้วย data breach ที่ส่งผลกระทบต่อบุคคลกว่า 4 ล้านคน โดยเหตุการณ์ดังกล่าวเป็นผลมาจากการโจมตี MOVEit บน IBM ซึ่งมีข้อมูลที่ถูกเปิดเผยได้แก่ ชื่อนามสกุล หมายเลขประกันสังคม หมายเลข Medicaid ID วันเกิด ที่อยู่บ้านและข้อมูลติดต่ออื่น ๆ ข้อมูลทางการแพทย์ และข้อมูลประกันสุขภาพ ซึ่งทาง Colorado Department of Health Care Policy & Financing (HCPF) เป็นหน่วยงานของรัฐในรัฐโคโลราโดของสหรัฐอเมริกา มีหน้าที่จัดการดูแลโครงการและนโยบายด้านการดูแลสุขภาพต่าง ๆ ภายในรัฐ

Colorado HCPF ได้ตกเป็นเหยื่อรายสุดท้ายของการโจมตีจากช่องโหว่ CVE-2023-34362 ที่ส่งผลกระทบต่อแพลตฟอร์มการถ่ายโอนไฟล์ MOVEit ของ Progress Software โดย MOVEit Transfer คือการถ่ายโอนไฟล์ที่มีการจัดการซึ่งใช้โดยองค์กรต่าง ๆ เพื่อถ่ายโอนไฟล์อย่างปลอดภัยโดยใช้การอัปโหลดแบบ SFTP, SCP และ HTTP ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่ SQL injection ทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสามารถใช้ประโยชน์จากการเข้าถึงฐานข้อมูลของ MOVEit Transfer โดยไม่ได้รับอนุญาต

โดยกลุ่ม Clop ransomware ได้อ้างการโจมตีหน่วยงานทั่วโลกโดยใช้ช่องโหว่ MOVEit Transfer ในการโจมตี โดยเหยื่อของการโจมตีได้แก่ US Department of Energy ,British Airways ,Boots ,BBC ,Aer Lingus ,Ofcom ,Shell ,University of Rochester, Schneider Electric, Siemens Energy และ Gen Digital โดยที่กระทรวงการต่างประเทศของสหรัฐฯได้เสนอรางวัลจำนวน 10 ล้านดอลลาร์ สำหรับข้อมูลใด ๆ ที่จะเชื่อมโยงเกี่ยวกับสมาชิกของกลุ่ม Clop ransomware

แหล่งข่าว [ https://securityaffairs.com/149498/data-breach/colorado-hcpf-department-data-breach.html ]

The Colorado Department of Health Care Policy & Financing (HCPF) disclose a data breach after MOVEit attack on IBM.

📢[⚪️⚪️⚪️] เว็บไซต์ร้างตกเป็นเป้าหมายของผู้ไม่หวังดี เพื่อนำไปใช้ทำเป็นเว็บฟิชชิ่งจากการศึกษาของ Kaspersky พบว่าผู้โจมตีก...
16/08/2023

📢[⚪️⚪️⚪️] เว็บไซต์ร้างตกเป็นเป้าหมายของผู้ไม่หวังดี เพื่อนำไปใช้ทำเป็นเว็บฟิชชิ่ง

จากการศึกษาของ Kaspersky พบว่าผู้โจมตีกำลังกำหนดเป้าหมายไปที่เว็บไซต์ที่ถูกละทิ้งหรือแทบไม่ได้รับการดูแลและอัปเดตด้านความปลอดภัยเพื่อนำไปทำเป็นโฮสต์หน้าฟิชชิ่ง ซึ่งในหลายกรณีพบว่าผู้ไม่หวังดีจะมุ่งเน้นไปที่เว็บไซต์ WordPress เนื่องจากมีช่องโหว่เป็นจำนวนมาก เป็นระบบการจัดการเนื้อหาที่ใช้กันอย่างแพร่หลาย และมีปลั๊กอินที่อาจมีช่องโหว่จำนวนมาก

โดเมนที่ถูกละเลยเป็นเวลานานยังทำให้ดึงดูดผู้โจมตีเข้ามา เนื่องจากหน้าฟิชชิ่งสามารถใช้งานบนโดเมนเหล่านั้นได้เป็นระยะเวลานานเช่นกัน ซึ่งสิ่งนี้อาจมีความสำคัญอย่างยิ่งสำหรับผู้โจมตี เนื่องจากวงจรชีวิตของหน้าฟิชชิ่งโดยทั่วไปนั้นจะค่อนข้างสั้น โดยในเดือนธันวาคม 2021 Kaspersky ได้เผยแพร่รายงานที่สรุปการวิเคราะห์วงจรชีวิตของหน้าฟิชชิ่ง ซึ่งการศึกษาพบว่า 33% ของหน้าฟิชชิ่งหยุดทำงานภายในวันเดียวหลังจากที่มีการเผยแพร่ จากหน้าฟิชชิ่ง 5,307 หน้า ที่นักวิจัยของ Kaspersky วิเคราะห์สำหรับการศึกษานี้ มี 1,784 หน้า หยุดทำงานหลังจากวันแรก โดยหลายหน้าปิดการใช้งานในไม่กี่ชั่วโมงแรก ครึ่งหนึ่งของหน้าทั้งหมดในการศึกษาหยุดทำงานหลังจาก 94 ชั่วโมง

Kaspersky พบว่าโดยปกติแล้ว เมื่อผู้โจมตีเจาะเข้าไปในเว็บไซต์ WordPress ผ่านช่องโหว่ พวกเขาจะอัปโหลด WSO Web shell ซึ่งเป็นเชลล์สคริปต์อันตรายที่ช่วยให้ผู้โจมตีควบคุมเว็บไซต์จากระยะไกลได้อย่างสมบูรณ์ จากนั้นผู้โจมตีจะใช้ Web shell เพื่อเจาะเข้าไปในแผงการดูแลระบบของเว็บไซต์ที่ถูกบุกรุกและเริ่มใส่หน้าปลอมลงไป พวกเขายังใช้แผงควบคุมเพื่อจัดเก็บข้อมูลประจำตัว ข้อมูลบัตรธนาคาร และข้อมูลที่ละเอียดอ่อนอื่น ๆ ที่ผู้ใช้อาจถูกหลอกให้ป้อนบนเว็บไซต์ เมื่อผู้โจมตีปล่อยการเข้าถึงแผงควบคุมไว้ ทุกคนบนอินเทอร์เน็ตจะสามารถเข้าถึงข้อมูลได้ ทั้งนี้ Kaspersky ได้นำเสนอเคล็ดลับเกี่ยวกับวิธีที่ผู้ดำเนินการเว็บไซต์ WordPress ที่สามารถตรวจพบว่าผู้โจมตีแฮ็กเว็บไซต์ของตนและใช้เว็บไซต์เพื่อโฮสต์หน้าฟิชชิ่งหรือไม่

แหล่งข่าว [ https://www.darkreading.com/attacks-breaches/-phishing-operators-make-ready-use-of-abandoned-websites-for-bait ]

Abandoned sites — like Wordpress — are easy to break into, offer a legitimate looking cover, and can remain active for longer than average.

📢[⚪️⚪️⚪️] หน่วยตำรวจ Cumbria Constabulary พลาดทำข้อมูลของเจ้าหน้าที่หลุดทางออนไลน์โดยไม่ตั้งใจCumbria Constabulary ซึ่งเ...
15/08/2023

📢[⚪️⚪️⚪️] หน่วยตำรวจ Cumbria Constabulary พลาดทำข้อมูลของเจ้าหน้าที่หลุดทางออนไลน์โดยไม่ตั้งใจ

Cumbria Constabulary ซึ่งเป็นหน่วยงานตำรวจรักษาดินแดนในอังกฤษ ได้เผยแพร่ข้อมูลที่เป็นชื่อและเงินเดือนของเจ้าหน้าที่และพนักงานทั้งหมดทางออนไลน์โดยไม่ได้ตั้งใจ ซึ่งเหตุการณ์ครั้งนี้ถือเป็นหน่วยงานที่ 2 ของสหราชอาณาจักรในรอบสองสัปดาห์ที่ออกมายอมรับถึงเหตุการณ์การเปิดเผยข้อมูลส่วนบุคคลที่เกี่ยวกับพนักงาน

ในเหตุการณ์นี้ ตำรวจ Cumbria ยอมรับว่าข้อมูลชื่อ เงินเดือน และเบี้ยเลี้ยงของเจ้าหน้าที่จริงและถูกเผยแพร่บนเว็บไซต์ ซึ่งเกิดจากความผิดพลาดของเจ้าหน้าที่โดยไม่เจตนา โดยข้อมูลดังกล่าวถูกลบออกทันทีที่มีการเผยแพร่โดยไม่ได้ตั้งใจ แต่ไม่ได้ระบุว่าข้อมูลดังกล่าวออนไลน์มานานแค่ไหนก่อนที่จะพบข้อผิดพลาด Cumbria Constabulary กล่าวว่าได้ติดต่อเจ้าหน้าที่ที่ได้รับผลกระทบทั้งหมดให้ทราบทันที และแจ้งถึงผลกระทบเล็กน้อยที่จะเกิดขึ้น และสรุปมาตรการที่ใช้เพื่อจัดการการรั่วไหลและป้องกันไม่ให้เกิดขึ้นอีก

เหตุการณ์ดังกล่าวถูกรายงานไปยังสำนักงานคณะกรรมการสารสนเทศ (Information Commissioner's Office) (ICO - หน่วยงานกำกับดูแลข้อมูลของสหราชอาณาจักร) โดยอ้างว่า ICO ระบุว่าไม่จำเป็นต้องดำเนินการใด ๆ นอกเหนือจากการให้คำแนะนำและข้อเสนอแนะ ซึ่ง ICO พอใจกับการดำเนินการของ Constabulary และขั้นตอนที่เข้มงวดซึ่งถูกนำมาใช้เพื่อป้องกันการละเมิดข้อมูลเพิ่มเติมนั้นแล้ว แต่ทั้งนี้ มีรายงานว่าหัวหน้าตำรวจ Simon Byrne จะต้องถูกสอบสวนโดยหน่วยงานกำกับดูแลและอาจจะต้องรับโทษ

แหล่งข่าว [ https://www.theregister.com/2023/08/14/cumbrian_police_accidentally_published_officer_details_online/ ]

Names, job titles and salaries included in unwitting leak

📢[⚪️⚪️⚪️] ช่องโหว่ของเว็บไซต์ Iagona Scrutis อาจทำให้ ATM ถูกแฮ็กจากระยะไกลได้ช่องโหว่หลายรายการที่ถูกพบในซอฟต์แวร์ตรวจส...
15/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่ของเว็บไซต์ Iagona Scrutis อาจทำให้ ATM ถูกแฮ็กจากระยะไกลได้

ช่องโหว่หลายรายการที่ถูกพบในซอฟต์แวร์ตรวจสอบ ATM ของ ScrutisWeb ที่ผลิตโดยบริษัท Iagona ของฝรั่งเศสอาจถูกโจมตีเพื่อเจาะระบบ ATM จากระยะไกลได้ ซึ่งช่องโหว่ได้ถูกค้นพบโดยนักวิจัยของ Synack Red Team โดย ScrutisWeb ช่วยให้องค์กรต่าง ๆ สามารถตรวจสอบ ATM ของธนาคารหรือร้านค้าปลีกได้จากเว็บเบราว์เซอร์ ทำให้สามารถตอบสนองต่อปัญหาได้อย่างรวดเร็ว

นักวิจัยของ Synack ได้ระบุช่องโหว่จำนวนสี่รายการได้แก่ CVE-2023-33871, CVE-2023-38257, CVE-2023-35763 และ CVE-2023-35189 โดยช่องโหว่ได้แก่ authorization bypass, hardcoded cryptographic key, arbitrary file upload ซึ่งทำให้ผู้โจมตีระยะไกลที่ไม่ผ่านการรับรองความถูกต้องสามารถใช้ประโยชน์ได้และผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เพื่อรับข้อมูลจากเซิร์ฟเวอร์ (การกำหนดค่า บันทึก และฐานข้อมูล) เพื่อดำเนินการ execute arbitrary command โดยนักวิจัยกล่าวว่าผู้โจมตีจะสามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบ management console ScrutisWeb ในฐานะผู้ดูแลระบบและตรวจสอบกิจกรรมของ ATM ที่เชื่อมต่อ เพื่อเปิดใช้งานโหมดการจัดการบนอุปกรณ์ อัปโหลดไฟล์ และรีบูตหรือปิดเครื่อง

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เผยแพร่คำแนะนำเพื่อแจ้งให้องค์กรทราบเกี่ยวกับช่องโหว่และจากข้อมูลของ CISA ผลิตภัณฑ์ที่ได้รับผลกระทบได้ถูกใช้ทั่วโลก

แหล่งข่าว [ https://www.securityweek.com/iagona-scrutisweb-vulnerabilities-could-expose-atms-to-remote-hacking/ ]

Several vulnerabilities discovered in Iagona ScrutisWeb ATM fleet monitoring software could be exploited to remotely hack ATMs.

📢[⚪️⚪️⚪️] ช่องโหว่หลายรายการใน CODESYS V3 SDK สามารถถูก RCE หรือ DoSนักวิจัยของ Microsoft Threat Intelligence ได้ค้นพบช่...
15/08/2023

📢[⚪️⚪️⚪️] ช่องโหว่หลายรายการใน CODESYS V3 SDK สามารถถูก RCE หรือ DoS

นักวิจัยของ Microsoft Threat Intelligence ได้ค้นพบช่องโหว่ที่มีความรุนแรงสูงจำนวน 16 รายการ ที่เรียกว่า CoDe16 ในชุดพัฒนาซอฟต์แวร์ CODESYS V3 (SDK) ทำให้ผู้โจมตีสามารถใช้ช่องโหว่ในการ remote code ex*****on และดำเนินการโจมตีแบบ denial-of-service ทำให้ operational technology (OT) ถูกเจาะระบบ

ช่องโหว่หมายเลข CVE-2022-47391 ได้รับคะแนนความรุนแรง 7.5 หากการใช้ประโยชน์จากช่องโหว่ได้สำเร็จจะส่งผลกระทบต่อ CODESYS V3 ทุกรุ่นก่อนเวอร์ชัน 3.5.19[.]0 และอาจทำให้โครงสร้างพื้นฐานของเทคโนโลยีการปฏิบัติงาน (OT) เสี่ยงต่อการถูกโจมตี เช่น การเรียกใช้โค้ดจากระยะไกล (RCE) และการปฏิเสธบริการ (DoS)

คำแนะนำจาก Microsoft
- ทำการแพตช์อุปกรณ์ที่ได้รับผลกระทบและอัปเดตเฟิร์มแวร์ของอุปกรณ์ให้เป็นเวอร์ชัน 3.5.19[.]0 หรือสูงกว่า
- ตรวจสอบอุปกรณ์ที่สำคัญทั้งหมด เช่น PLC, router, PC หรืออื่น ๆ ถูกตัดการเชื่อมต่อจากอินเทอร์เน็ต โดยไม่คำนึงว่าอุปกรณ์เหล่านั้นเรียกใช้ CODESYS หรือไม่
- จำกัดการเข้าถึงอุปกรณ์ CODESYS เฉพาะส่วนประกอบที่ได้รับอนุญาตเท่านั้น

แหล่งข่าว [ https://securityaffairs.com/149474/security/codesys-v3-sdk-rce-dos.html ]

16 vulnerabilities in Codesys products could result in remote code ex*****on and DoS attacks exposing OT environments to hacking.

📢[⚪️⚪️⚪️] CISA เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ .NET, Visual Studio ลงใน Known Exploited Vulnerabilities CatalogUS Cybersec...
11/08/2023

📢[⚪️⚪️⚪️] CISA เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ .NET, Visual Studio ลงใน Known Exploited Vulnerabilities Catalog

US Cybersecurity and Infrastructure Security Agency (CISA) ของสหรัฐฯ ได้เพิ่มช่องโหว่ Zero-day ที่หมายเลข CVE-2023-38180 (คะแนน CVSS 7.5) ที่ส่งผลกระทบต่อ .NET และ Visual Studio ของ Microsoft ลงใน Known Exploited Vulnerabilities Catalog ซึ่งช่องโหว่ดังกล่าวสามารถถูก exploit เพื่อใช้สำหรับการโจมตีแบบ denial-of-service (DoS) โดยที่ Microsoft ได้แก้ไขด้วยการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 และ Microsoft ยืนยันว่าระบบที่มีช่องโหว่สามารถถูกโจมตีได้ไม่จำเป็นที่ต้องมีการโต้ตอบจากผู้ใช้

Microsoft ไม่ได้เปิดเผยถึงรายละเอียดเกี่ยวกับการโจมตีของช่องโหว่ดังกล่าว แต่ช่องโหว่นี้มีผลกระทบต่อ Visual Studio 2022 เวอร์ชัน 17.2, 17.4 และ 17.6 รวมถึง .NET 6.0 และ 7.0 และ ASP[.]NET Core 2.1 ตามคำสั่ง Binding Operational Directive 22-01 ซึ่งหน่วยงาน FCEB จะต้องแก้ไขช่องโหว่ภายในวันที่กำหนดเพื่อป้องกันเครือข่ายถูกใช้ประโยชน์จากช่องโหว่ในการโจมตี และ CISA สั่งให้หน่วยงานของรัฐบาลกลางแก้ไขช่องโหว่นี้ภายในวันที่ 30 สิงหาคม 2023

แหล่งข่าว [ https://securityaffairs.com/149382/security/cisa-known-exploited-vulnerabilities-catalog-cve-2023-38180.html ]

US CISA added zero-day vulnerability CVE-2023-38180 affecting .NET and Visual Studio to its Known Exploited Vulnerabilities catalog.

📢[⚪️⚪️⚪️] Adobe ออกแพชต์อัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่ใน Acrobat Readerเมื่อวันอังคารที่ผ่านมา Adobe ได้ออกแพตช์อั...
11/08/2023

📢[⚪️⚪️⚪️] Adobe ออกแพชต์อัปเดตความปลอดภัย เพื่อแก้ไขช่องโหว่ใน Acrobat Reader

เมื่อวันอังคารที่ผ่านมา Adobe ได้ออกแพตช์อัปเดตความปลอดภัยชุดใหญ่สำหรับซอฟต์แวร์ Acrobat Reader โดยแก้ไขช่องโหว่อย่างน้อย 30 รายการ ที่ส่งผลกระทบต่อการติดตั้ง Windows และ macOS ซึ่งเป็นช่องโหว่ระดับวิกฤต และเตือนว่าหากมีการทำ Exploit จุดอ่อนแล้วประสบความสำเร็จ อาจนำไปสู่การใช้รหัสโดยอำเภอใจ การรั่วไหลของหน่วยความจำ การหลบเลี่ยงความปลอดภัย และการโจมตีแบบปฏิเสธการให้บริการของแอปพลิเคชันได้ โดยซอฟต์แวร์ที่ได้รับผลกระทบ ได้แก่ Acrobat DC, Acrobat Reader DC, Acrobat 2020 และ Acrobat Reader 2020 ซึ่งบั๊กส่วนใหญ่เป็นปัญหาด้านความปลอดภัยของหน่วยความจำ และทีมงาน Adobe PSIRT ยังได้อัปเดตซอฟต์แวร์ Adobe Dimension เพื่อแก้ไขช่องโหว่ 3 รายการ ที่ทำให้ผู้ใช้ระบบปฏิบัติการ Windows และ macOS ใช้งานโค้ดโดยอำเภอใจและหน่วยความจำรั่วไหล

แหล่งข่าว [ https://www.securityweek.com/patch-tuesday-adobe-patches-30-acrobat-reader-vulns/ ]

Adobe rolls out a big batch of security updates to fix at least 30 Acrobat and Reader vulnerabilities affecting Windows and macOS users.

📢[⚪️⚪️⚪️] จำนวนสถิติการโจมตีด้วยแรนซัมแวร์ในฟินแลนด์เพิ่มขึ้นสี่เท่า นับตั้งแต่เข้าร่วม NATOรายงานข่าวจาก Recorded Futur...
09/08/2023

📢[⚪️⚪️⚪️] จำนวนสถิติการโจมตีด้วยแรนซัมแวร์ในฟินแลนด์เพิ่มขึ้นสี่เท่า นับตั้งแต่เข้าร่วม NATO

รายงานข่าวจาก Recorded Future News ได้สัมภาษณ์ Sauli Pahlman รองผู้อำนวยการทั่วไปของ National Cyber Security Center (NCSC) ของฟินแลนด์ พบว่าจำนวนการโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมายในฟินแลนด์ได้เพิ่มขึ้นสี่เท่านับตั้งแต่ฟินแลนด์ได้เข้าร่วมกับ NATO ในปี 2023 ซึ่งเชื่อว่าจำนวนการโจมตีที่เพิ่มขึ้นนั้นมาจากแรงจูงใจทางการเมือง โดยที่วลาดิมีร์ ปูติน ได้เคยเตือนหลายครั้งว่ารัสเซียจะตอบโต้กลับหากนาโต้ตั้งโครงสร้างพื้นฐานทางทหารในฟินแลนด์หลังจากการเข้าร่วมเป็นพันธมิตร

เมื่อเดือนตุลาคม 2022 หน่วยข่าวกรองความมั่นคงแห่งฟินแลนด์ ( Suojelupoliisi หรือ SUPO ) ได้ออกเตือนถึงการโจมตีทางไซเบอร์ที่จะมีแนวโน้มสูงขึ้นจากผู้โจมตีที่มีความเชื่อมโยงกับรัสเซีย และในเวลานั้น SUPO ชี้ให้ NATO เห็นว่าการเป็นสมาชิกจะทำให้ประเทศนี้ตกเป็นเป้าหมายพิเศษสำหรับรัสเซีย ซึ่งหน่วยข่าวกรองระบุว่าภัยคุกคามทางไซเบอร์ต่อโครงสร้างพื้นฐานที่สำคัญของฟินแลนด์ได้เพิ่มขึ้นอันเป็นผลมาจากการรุกรานยูเครนของรัสเซีย และหน่วยงานยังเตือนด้วยว่าปฏิบัติการเหล่านี้ได้มุ่งเป้าหมายไปที่องค์กรและบุคคลจากประเทศตะวันตกที่อาศัยอยู่ในฟินแลนด์เป็นหลัก

แหล่งข่าว [ https://securityaffairs.com/149244/hacking/ransomware-attacks-against-finland.html ]

Senior official reports a quadruple increase in ransomware attacks against Finland since it started the process to join NATO.

ที่อยู่

อาคารรัฐประศาสนภักดี (อาคารบี) ศูนย์ราชการเฉลิมพระเกียรติ 80 พรรษา 5 ธันวาคม 2550
Bangkok
10210

เบอร์โทรศัพท์

+6621426888

เว็บไซต์

แจ้งเตือน

รับทราบข่าวสารและโปรโมชั่นของ ThaiCERTผ่านทางอีเมล์ของคุณ เราจะเก็บข้อมูลของคุณเป็นความลับ คุณสามารถกดยกเลิกการติดตามได้ตลอดเวลา

ติดต่อ ธุรกิจของเรา

ส่งข้อความของคุณถึง ThaiCERT:

วิดีโอทั้งหมด

แชร์

ตำแหน่งใกล้เคียง บริการภาครัฐ


องค์กรของรัฐ อื่นๆใน Bangkok

แสดงผลทั้งหมด

ความคิดเห็น

แจ้งเตือน พบการโจมตีช่องโหว่ Firefox ส่งผลให้ผู้ไม่หวังดีสามารถควบคุมเครื่องจากระยะไกล ผู้ใช้งานควรรีบอัปเดต (CVE-2022-26485, CVE-2022-26486)

เมื่อวันที่ 5 มี.ค. 2565 บริษัท Mozilla ได้ออกอัปเดตให้กับ Firefox เพื่อแก้ไขปัญหาช่องโหว่ระดับวิกฤต (Critical) ซึ่งส่งผลให้เครื่องอาจถูกควบคุมโดยผู้ไม่หวังดีจากระยะไกล และมีรายงานว่าช่องโหว่ดังกล่าวถูกใช้โจมตีแล้ว

ช่องโหว่ที่ได้รับรายงานมี 2 รายการคือ CVE-2022-26485, CVE-2022-26486 โดยทั้งสองช่องโหว่เป็นลักษณะมีข้อผิดพลาดในการอ่านข้อมูลจากหน่วยความจำในตำแหน่งที่ไม่ได้ใช้งานแล้ว (Use-after-free) อาจส่งผลให้ผู้ไม่หวังดีสามารถหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่มีโค้ดอันตรายฝังอยู่เพื่อให้นำโค้ดดังกล่าวมาประมวลผลได้ (Remote Code Ex*****on) หากการโจมตีสำเร็จ ผู้ไม่หวังดีจะสามารถสั่งควบคุมเครื่องคอมพิวเตอร์ของเหยื่อได้จากระยะไกล อย่างไรก็ตาม ระดับสิทธิในการประมวลผลคำสั่งอันตรายจะเทียบเท่ากับระดับสิทธิของตัวเบราว์เซอร์

ผู้ที่ใช้งาน Firefox ควรอัปเดตเป็นเวอร์ชันล่าสุด (Firefox 97.0.2, Firefox 91.6.1 ESR, Firefox 97.3.0 สำหรับปฏิบัติการ Android) เพื่อปิดช่องโหว่

https://www.thaicert.or.th/newsbite/2022-03-07-01.html #2022-03-07-01
แจ้งเตือน พบช่องโหว่ใน Log4j ส่งผลให้ซอฟต์แวร์ที่ใช้งานไลบรารีดังกล่าวถูกควบคุม มีโค้ดสาธิตการโจมตีแล้ว ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน

เมื่อวันที่ 10 ธันวาคม 2564 นักวิจัยด้านความมั่นคงปลอดภัยของ Alibaba Cloud ได้เผยแพร่การพบช่องโหว่ใน Log4j ซึ่งเป็นไลบรารีที่ใช้ในการบันทึกล็อก (logging) และถูกใช้งานในซอฟต์แวร์อย่างแพร่หลาย โดยช่องโหว่ดังกล่าว มีหมายเลข CVE-2021-44228 ส่งผลให้ผู้ประสงค์ร้ายสามารถรันโค้ดอันตรายจากระยะไกลเพื่อควบคุมระบบ
นอกจากนี้ ยังพบการเผยแพร่โค้ดตัวอย่างสาธิตการโจมตีช่องโหว่ดังกล่าวแล้ว

เวอร์ชันที่ได้รับผลกระทบคือ 2.0 - 2.14.1 ซึ่งทางผู้พัฒนาได้เผยแพร่เวอร์ชัน 2.15.0 เพื่อปิดช่องโหว่ และเนื่องจาก Log4j ถูกใช้งานในซอฟต์แวร์ต่าง ๆ เช่น Apache Struts 2, Apache Solr, Apache Druid, Apache Flink, ElasticSearch, Flume, Logstash, Kafka รวมถึง VMWare บางโมเดล ทำให้ซอฟต์แวร์เหล่านี้อาจได้รับผลกระทบด้วย ผู้ดูแลระบบที่ใช้งานซอฟต์แวร์ที่ใช้งานไลบรารีดังกล่าวควรทำการอัปเดตตัวไลบรารี หรือติดตามข่าวสารการอัปเดตซอฟต์แวร์เหล่านี้เพื่อปิดช่องโหว่ โดยอาจตรวจสอบจากรายการซอฟต์แวร์ที่ได้รับผลกระทบ (https://github.com/YfryTchsGD/Log4jAttackSurface, https://www.randori.com/blog/vmsa-2021-0028-vmware-log4shell-impact-remediations/) และตรวจสอบว่าระบบมีการใช้งาน Log4j เวอร์ชันที่ได้รับผลกระทบหรือไม่จากค่า Hash (https://github.com/mubix/CVE-2021-44228-Log4Shell-Hashes)

ทั้งนี้ หากยังไม่สามารถอัปเดตได้ ผู้ดูแลระบบอาจพิจารณาการตั้งค่าเพื่อลดผลกระทบโดยศึกษาได้จาก https://logging.apache.org/log4j/2.x/security.html

https://www.thaicert.or.th/newsbite/2021-12-12-01.html #2021-12-12-01
แจ้งเตือน พบการโจมตีช่องโหว่ใน Apache HTTP Server เวอร์ชัน 2.4.49 ส่งผลให้ถูกอ่านไฟล์นอก document root (CVE-2021-41773)


เมื่อวันที่ 4 ตุลาคม 2564 ผู้พัฒนา Apache HTTP Server ได้ออกอัปเดตแก้ไขช่องโหว่รหัส CVE-2021-41773 ซึ่งเป็นช่องโหว่ประเภท Path Traversal ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงไฟล์อื่นที่อยู่นอกเหนือ document root เช่น ไฟล์สคริปต์ประเภท CGI

ช่องโหว่ดังกล่าวส่งผลกระทบกับ Apache HTTP Server เวอร์ชัน 2.4.49 เท่านั้น และเป็นช่องโหว่ 0-day ซึ่งหมายถึงช่องโหว่ที่ถูกพบว่ามีการนำไปโจมตีก่อนที่จะมีอัปเดตสำหรับแก้ไข ผู้ดูแลระบบที่ได้รับผลกระทบจึงควรแก้ไขช่องโหว่ดังกล่าวโดยเร็วโดยอัปเดตเป็นเวอร์ชัน 2.4.50

https://www.thaicert.or.th/newsbite/2021-10-06-01.html #2021-10-06-01
แจ้งเตือน พบการโจมตีช่องโหว่ใน vCenter Server ส่งผลให้อาจถูกเจาะระบบได้ ควรรีบอัปเดต (CVE-2021-22005)

เมื่อวันที่ 21 กันยายน 2564 VMware ได้ออกแจ้งเตือนช่องโหว่ของ vCenter Server จำนวน 19 รายการและมีคะแนนระดับความรุนแรง (CVSS3) ตั้งแต่ 4.3-9.8 โดยผลิตภัณฑ์ที่ได้รับผลกระทบได้แก่ VMware VCenter Server เวอร์ชัน 6.5, 6.7, 7.0 และ VMware Cloud Foundation (Vcenter server) เวอร์ชัน 3.x, 4.x

ช่องโหว่ที่ควรให้ได้รับการแก้ไขโดยเร่งด่วนคือช่องโหว่หมายเลข CVE-2021-22005 โดยเป็นจุดบกพร่องในฟังก์ชันการอัปโหลดไฟล์ ส่งผลให้ผู้ไม่หวังดีสามารถอัปโหลดไฟล์ที่แฝงโค้ดอันตรายเพื่อเข้าควบคุมระบบจากระยะไกล

ทั้งนี้ มีรายงานพบการเผยแพร่ตัวอย่างโค้ดการโจมตี และพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวแล้ว ผู้ดูแลระบบที่ได้รับผลกระทบจึงควรอัปเดตเพื่อปิดช่องโหว่โดยสามารถศึกษารายละเอียดของแพตช์ได้จากรายงานของ VMware (https://www.vmware.com/security/advisories/VMSA-2021-0020.html)

https://www.thaicert.or.th/newsbite/2021-09-29-01.html #2021-09-29-01
แจ้งเตือน พบช่องโหว่ใน Linux VM บน Azure Cloud ส่งผลให้ถูกเจาะระบบจากระยะไกลและถูกควบคุมด้วยสิทธิ root

เมื่อวันที่ 14 กันยายน 2564 Microsoft ได้เผยแพร่รายงานชุดช่องโหว่ที่พบบนซอฟต์แวร์ OMI (Open Management Infrastructure) ที่ปกติจะติดตั้งใน Linux VM บน Azure Cloud หากมีการใช้บริการหรือเครื่องมือของ Azure เช่น Open Management Suite (OMS), Azure Insights, Azure Automation, Azure Automatic Update, Azure Log Analytics, Azure Configuration Management และ Azure Diagnostics

ชุดช่องโหว่ที่พบมี 4 รายการ โดยเป็นช่องโหว่ประเภท remote code excution 1 รายการ (CVE-2021-38647) ส่งผลให้ผู้ประสงค์ร้ายสามารถรันโค้ดอันตรายจากระยะไกลเพื่อควบคุมระบบ หากมี VM มีการเปิดพอร์ตสำหรับเชื่อมต่อกับ OMI และส่วนอีก 3 รายการเป็นประเภท Privilege Escalation ส่งผลให้ผู้ประสงค์ร้ายยกระดับสิทธิ ส่งผลให้ได้สิทธิ root (CVE-2021-38648, CVE-2021-38648, CVE-2021-38649)

หากผู้ดูแลระบบมีการใช้งานบริการหรือเครื่องมือของ Azure ดังที่กล่าวข้างต้นและใช้งาน Linux VM ควรรีบอัปเตด OMI เป็นเวอร์ชัน 1.6.8.1 เพื่อปิดช่องโหว่ หากยังไม่สามารถทำได้ทันทีควรพิจารณาปิดกั้นพอร์ตการเชื่อมต่อกับ OMI คือ 5985, 5986, 1270 เป็นการชั่วคราว

https://www.thaicert.or.th/newsbite/2021-09-16-01.html #2021-09-16-01
แจ้งเตือน พบการโจมตีช่องโหว่ Google Chrome กระทบเวอร์ชัน Desktop ผู้ใช้งานควรรีบอัปเดต (CVE-2021-30632 และ CVE-2021-30633)


เมื่อวันที่ 13 สิงหาคม 2564 บริษัท Google ได้ออกโปรแกรม Google Chrome เวอร์ชัน 93.0.4577.82 สำหรับผู้ใช้งาน desktop บนระบบปฏิบัติการ Windows, Mac และ Linux เพื่อแก้ไขปัญหาช่องโหว่ระดับสูง (High) ซึ่งมีรายงานว่าถูกใช้โจมตีจริงแล้ว

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-30632 เป็นช่องโหว่ประเภท out-of-bounds write ใน V8 JavaScript Engine และ CVE-2021-30633 เป็นช่องโหว่ประเภท use-after-free ใน DB API ส่งผลให้ผู้ไม่หวังดีสามารถโจมตีเพื่อรันโค้ดอันตรายบนเครื่องของเหยื่อได้

เพื่อป้องกันและหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ใช้งาน Google Chrome เวอร์ชัน desktop ควรตรวจสอบและอัปเดตให้เป็นเวอร์ชันล่าสุด

https://www.thaicert.or.th/newsbite/2021-09-15-02.html #2021-09-15-02
แจ้งเตือน รีบอัปเดต iOS iPadOS macOS watchOS และ Safari เนื่องจากพบมีการโจมตีช่องโหว่ร้ายแรงเพื่อแฮกควบคุมเครื่อง (CVE-2021-30860 และ CVE-2021-30858)

เมื่อวันที่ 13 กันยายน 2564 บริษัท Apple ได้เผยแพร่อัปเดตระบบปฏิบัติการ iOS iPadOS macOS watchOS รวมถึงเบราว์เซอร์ Safari โดยมีการแก้ไขข้อผิดพลาดและช่องโหว่ด้านความมั่นคงปลอดภัยจำนวน 2 จุด ซึ่งพบในส่วน CoreGraphics และ WebKit ของระบบปฏิบัติการ (CVE-2021-30860 และ CVE-2021-30858)

สำหรับรูปแบบการโจมตีผ่านช่องโหว่ CVE-2021-30860 นั้น หากผู้ใช้งานเปิดเอกสารประเภท PDF ที่แฝงโค้ดอันตรายที่ผู้ประสงค์ร้ายสร้างขึ้น จะส่งผลให้ถูกแฮกควบคุมเครื่องได้ และสำหรับช่องโหว่ CVE-2021-30860 หากผู้ใช้งานที่เปิดเว็บไซต์ที่แฝงโค้ดอันตรายผู้ประสงค์ร้ายสร้างขึ้น จะส่งผลให้ถูกแฮกควบคุมเครื่องได้เช่นกัน

นอกจากนี้ยังมีรายงานว่าพบมัลแวร์ประเภท Spyware ชื่อ Pegasus ได้ทำการโจมตีผ่านช่องโหว่ CVE-2021-30860 ตั้งแต่เดือนกุมภาพันธ์ 2564 ดังนั้นผู้ใช้งานที่ได้รับผลกระทบจึงควรอัปเดตระบบปฏิบัติการที่ใช้งานเป็นเวอร์ชันล่าสุดพื่อปิดช่องโหว่ทั้ง 2 โดยมีรายละเอียดของเวอร์ชันดังนี้

iOS และ iPadOS 14.8
macOS Big Sur 11.6
macOS Catalina Security Update 2021-005
watchOS 7.6.2
Safari 14.1.2
ทั้งนี้ สำหรับผุ้ที่สนใจรายละเอียดของช่องโหว่และอัปเดตสามารถศึกษาได้จากที่มา

https://www.thaicert.or.th/newsbite/2021-09-15-01.html
แจ้งเตือน ช่องโหว่ในบริการ Windows Print Spooler ส่งผลให้ถูกควบคุมเครื่องด้วยสิทธิ SYSTEM มีโค้ดตัวอย่างการโจมตีแล้ว (CVE-2021-34527, CVE-2021-1675)

เมื่อวันที่ 1 กรกฎาคม 2564 บริษัท Microsoft ได้เผยแพร่บทความแจ้งเตือนช่องโหว่ในบริการ Windows Print Spooler บนระบบปฏิบัติการ Windows ซึ่งส่งผลให้ผู้ประสงค์ร้ายที่มีสิทธิเข้าถึงบริการดังกล่าว เช่น ผู้ใช้งาน AD ที่ล็อกอินเข้าเครื่องที่มีการเปิดใช้งาน Windows Print Spooler สามารถโจมตีเพื่อควบคุมเครื่องด้วยสิทธิระดับ SYSTEM

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-34527 และถูกเรียกว่า PrintNightmare ทั้งนี้ ปัจจุบันได้มีนักวิจัยออกมาเผยเพร่โค้ดตัวอย่างสาธิตการโจมตีแล้ว ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบเครื่องว่าได้เปิดการใช้งาน Windows Print Spooler หรือไม่ ด้วยคำสั่ง sc query Spooler สำหรับการป้องกัน เนื่องจากยังไม่มีการเผยแพร่แพตช์ปิดช่องโหว่ Microsoft ได้แนะนำให้ผู้ที่ได้รับผลกระทบปิดการใช้งาน หรือตั้งค่าปิดกั้นการเข้าถึงบริการดังกล่าวจากระยะไกล เป็นการชั่วคราวโดยรายละเอียดศึกษาได้ที่ https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

ทั้งนี้ เมื่อต้นเดือนพฤษภาคม 2564 Microsoft ได้เผยแพร่แพตช์ด้านความมันคงปลอดภัยประจำเดือน ซึ่งได้ปิดช่องโหว่ใน Windows Print Spooler ที่มีผลกระทบลักษณะคล้ายกัน (หมายเลข CVE-2021-1675) ผู้ที่ใช้งานที่ได้รับผลกระทบควรพิจารณาติดแพตช์ดังกล่าวระหว่างรอแพตช์สำหรับช่องโหว่ CVE-2021-34527

https://www.thaicert.or.th/newsbite/2021-07-02-01.html #2021-07-02-01
แจ้งเตือนช่องโหว่ระดับสำคัญและวิกฤตในผลิตภัณฑ์ vCenter Server ผู้ดูแลระบบควรรีบอัปเดตโดยด่วน (CVE-2021-21985)

เมื่อวันที่ 25 พฤษภาคม 2564 ทางบริษัท VMWare ได้ออกแพตช์แก้ไขช่องโหว่ ซึ่งส่งผลกระทบกับผลิตภัณฑ์ vCenter Server และ VMware Cloud Foundation ช่องโหว่ดังกล่าวมีหมายเลข CVE-2021-21985 ถูกจัดความรุนแรงให้อยู่ในระดับวิกฤต (Critical) และได้คะแนนตามเกณฑ์ CVSSv3 อยู่ที่ 9.8 โดยส่งผลกระทบกับ vCenter Server เวอร์ชัน 6.5, 6.7, 7.0 และ Cloud Foundation เวอร์ชัน 4.x

ช่องโหว่ที่พบเป็นช่องโหว่ประเภท Remote Code Ex*****on (RCE) ที่เกิดในปลั๊กอิน Virtual SAN Health Check ซึ่งปกติจะถูกตั้งค่าให้เปิดใช้งานพร้อมกับการติดตั้ง vCenter Server ส่งผลให้ผู้ไม่หวังดีที่สามารถเข้าถึง port 443 สามารถใช้ส่งคำสั่งอันตรายไปยังปลั๊กอินของ vCenter Server เพื่อเข้าควบคุมระบบด้วยสิทธิสูงสุดได้

เพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้น ผู้ดูแลระบบควรตรวจสอบและพิจารณาอัปเดตแพตช์โดยด่วน หากยังไม่สามารถอัปเดตแพตช์ได้ผู้ดูแลระบบสามารถปฏิบัติตามขั้นตอนในลิงก์ต่อไปนี้เพื่อแก้ไขปัญหาชั่วคราว (https://kb.vmware.com/s/article/838292)

https://www.thaicert.or.th/newsbite/2021-05-28-01.html #2021-05-28-01
ข้อแนะนำเบื้องต้นในการ Work From Home อย่างปลอดภัย ห่างไกลภัยคุกคามไซเบอร์

จากเหตุการณ์การแพร่ระบาดของเชื้อ COVID-19 ระลอกใหม่ ส่งผลให้ประชาชนส่วนใหญ่ต้องหันมาทำงานที่บ้าน พึ่งพาคอมพิวเตอร์และอินเทอร์เน็ตในการทำงานและติดต่อสื่อสารจากระยะไกลมากขึ้น ทำให้ความเสี่ยงด้านความปลอดภัยทางไซเบอร์ต่อผู้ใช้งานและองค์กรมากขึ้นเช่นกัน เนื่องจากการทำงานที่บ้านทำให้ขาดการสนับสนุนจากอุปกรณ์รักษาความปลอดภัยและการสนับสนุนจากเจ้าหน้าที่รักษาความปลอดภัยไซเบอร์ขององค์กรที่ช่วยเฝ้าระวังและป้องกัน ผู้ใช้งานจึงอาจศึกษาและพิจารณาปฏิบัติตามข้อแนะนำเพื่อลดความเสี่ยงจากการถูกโจมตีดังนี้

1. สำหรับเครื่องคอมพิวเตอร์ หรืออุปกรณ์อื่น ๆ ที่สามารถเข้าถึงข้อมูลงาน เช่น แท็บเล็ตที่อาจมีบัญชีอีเมลขององค์กร ไม่ควรใช้งานร่วมกับสมาชิกในบ้าน เพื่อป้องกันอุบัติเหตุในการไปแก้ไขหรือลบไฟล์ใด ๆ รวมถึงอาจดาวน์โหลดไฟล์อันตรายที่แฝงมัลแวร์มาลงเครื่อง ซึ่งอาจส่งผลกระทบ เช่น ข้อมูลถูกขโมยหรือถูกเข้ารหัสลับทำให้ใช้งานไม่ได้
2. ติดตั้งที่ปิดกล้อง we**am และปิดไว้ในกรณีที่ไม่ใช้งาน เพื่อลดผลกระทบกรณีที่ผู้ไม่หวังดีเจาะระบบและควบคุมอุปกรณ์ ซึ่งอาจทำให้ข้อมูลหรือความเป็นส่วนตัวของผู้ใช้งานถูกละเมิด
3. พิจารณาใช้งาน cloud storage เป็นทางเลือกในการเก็บหรือสำรองข้อมูล เพื่อป้องกันข้อมูลสูญหาย
4. ทบทวนรายการบัญชี โปรแกรม และอุปกรณ์ใช้งานว่ามีอะไรบ้าง ซึ่งอาจรวมถึงอุปกรณ์เราเตอร์ที่ใช้ในบ้าน ทำการสำรวจและเปลี่ยนรหัสผ่านหากมีการใช้งานซ้ำกัน หรือเป็นรหัสที่คาดเดาง่าย
5. โปรแกรมและอุปกรณ์ใช้งานควรมีการอัปเดตที่ใช้งานให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ และเปิดการยืนยันตัวตน 2 ขั้นตอน หรือ Two-Factor Authentication เพื่อช่วยเพิ่มความมั่นคงปลอดภัย
6. สำหรับใช้งานโปรแกรมประเภท video conference ควรเลือกใช้โปรแกรมที่มีความสามารถในการรักษาความปลอดภัยและความเป็นส่วนตัวสูงโดยอาจพิจารณาจากรีวิวหลายแหล่ง นอกจากนี้ ในการใช้งานแต่ละครั้งควรตรวจสอบให้แน่ใจว่ามีการตั้งค่าห้องไม่ให้สาธารณะเข้าถึง โดยตั้งรหัสผ่านในการเข้าห้องหรือตั้งค่าให้มีการอนุญาตจากคนในห้องก่อน เพราะอาจเกิดเหตุการณ์ที่คนภายนอกเข้ามาในห้องประชุมโดยพลการและทำให้ข้อมูลรั่วไหลได้
7. ระมัดระวังการหลอกลวงผ่านช่องทางการสื่อสารต่าง ๆ เช่น อีเมล ไลน์ SMS ซึ่งผู้ไม่หวังดีอาจใช้สถานการณ์ที่เกี่ยวกับการแพร่ระบาดโควิด เพื่อหลอกขโมยข้อมูลหรือรหัสผ่านบัญชีต่าง ๆ (ตัวอย่างการหลอกลวง https://www.thaicert.or.th/newsbite/2020-05-23-01.html) โดยหากพบ และได้ตรวจสอบข้อมูลจากแหล่งทางการแล้ว แต่ยังไม่แน่ใจว่าเป็นการหลอกลวงหรือไม่ ควรหลีกเลี่ยงการเปิดไฟล์แนบ คลิกลิงก์ หรือติดตั้งแอปพลิเคชันตามที่ชักชวน และควรแจ้งเจ้าหน้าที่ไอทีเพื่อตรวจสอบและพิจารณาแจ้งเตือนผู้ใช้งานในองค์กรต่อไป

ทั้งนี้ ในส่วนขององค์กรอาจพิจารณาติดตั้งระบบเพื่อให้พนักงานสามารถเข้าถึงระบบและเครือข่ายขององค์กรได้จากระยะไกลผ่าน VPN หรือหากมีการใช้งานอยู่แล้ว ก็ควรกำหนดนโยบายการตั้งรหัสผ่านให้แข็งแรง หรือใช้งานการยืนยันตัวตน 2 ขั้นตอน เช่นกัน โดยหากผู้อ่านสนใจสามารถศึกษาเพิ่มเติมได้จากที่มาซึ่งมีข้อแนะนำอื่น ๆ ที่ลงรายละเอียดสำหรับทั้งฝั่งองค์กรและผู้ใช้งาน

https://www.thaicert.or.th/newsbite/2021-04-27-01.html
#}