พบบั๊ก SQLi ร้ายแรงบน Cisco Unified CM ที่ใช้แก้ข้อมูลและแก้ไขสิทธิ์ได้

ซิสโก้ปล่อยตัวแก้ไขสำหรับ Unified Communications Manager (CM) และ Unified Communications Manager Session Management Edition เพื่ออุดช่องโหว่ร้ายแรงมากเกี่ยวกับ SQL Injection ที่เปิดช่องให้ผู้ใช้สิทธิ์ปกติส่งคิวรี่อันตรายเข้ามาเจาะได้

ผู้โจมตีอาจใช้ช่องโหว่นี้อ่านหรือแก้ไขข้อมูลทุกอย่างบนฐานข้อมูลของระบบ หรือแม้แต่ใช้ยกระดับสิทธิ์การใช้งานของตัวเองได้ด้วย สำหรับ Cisco Unified CM และ Unified CM SME นี้เป็นระบบจัดการเซสชั่นและระบบโทรศัพท์ระดับองค์กรเป็นศูนย์กลางผสานกับแอพอย่าง Webex, Jabber เป็นต้น รวมทั้งดูเรื่องความพร้อมการให้บริการและความปลอดภัยที่เกี่ยวข้อง

ช่องโหว่ตัวนี้อยู่ภายใต้รหัส CVE-2023-20010 คะแนนความร้ายแรงอยู่ที่ 8.1 ตามสเกล CVSS เป็นช่องโหว่ที่เกิดจากการไม่มีกลไกตรวจสอบอินพุตที่ผู้ใช้ป้อนเข้ามาในหน้าเว็บจัดการแพลตฟอร์มอย่างดีเพียงพอ ทั้งนี้ซิสโก้กล่าวว่าไม่มีวิธีแก้ไขหรือป้องกันเบื้องต้นด้วยตนเองได้นอกจากรีบอัพเดทแพ็ตช์ที่เพิ่งออกมาอย่างเวอร์ชั่น 12.5(1)SU7 เท่านั้น

อ่านเพิ่มเติมที่นี่ – GBH

from:https://www.enterpriseitpro.net/unified-cm-sql-injection-flaw/

พบข้อมูล Mailchimp รั่วไหลร้ายแรงกว่าที่คิด เมื่อลูกค้าทยอยมาเล่าถึงผลกระทบ

เริ่มมีลูกค้า Mailchimp หลายรายออกมาเตือนผู้ใช้ระบบตัวเองว่าอาจเสี่ยงที่จะเจอฟิชชิ่งมากขึ้น อันเป็นผลจากกรณีข้อมูลรั่วไหลนี้ ล่าสุดบริษัทผู้ให้บริการพนันออนไลน์ FanDuel ได้แจ้งเตือนลูกค้าตัวเองถึงความเสี่ยงด้านความปลอดภัยที่เกี่ยวกับเคสนี้ด้วยเช่นกัน

โดยมีรายงานว่าเมื่อช่วงสุดสัปดาห์ที่ผ่านมา พบว่าเว็บพนันเกี่ยวกับกีฬานี้ได้ออกประกาศเตือนผู้ใช้ให้ “ตั้งสติ ระวังโดนหลอก” จากอีเมลฟิชชิ่ง หลังได้รับแจ้งจากผู้ให้บริการเธิร์ดปาร์ตี้ที่คอยส่งเมลแทนบริษัท (หมายถึง Mailchimp) ว่าพบการโจมตีทางไซเบอร์ในระบบตัวเองที่กระทบลูกค้าหลายราย

พร้อมย้ำว่า “ผู้ให้บริการดังกล่าวยืนยันว่าข้อมูลชื่อและอีเมลในระบบโดนจารกรรมออกไปโดยผู้ที่ไม่ได้รับอนุญาต” ด้วย แม้จะไม่รวมถึงรหัสผ่านผู้ใช้ ข้อมูลทางการเงิน หรือข้อมูลส่วนตัวอื่นๆ หลุดออกไปพร้อมกันก็ตาม จึงขอให้ระวังเมลฟิชชิ่งที่น่าจะยิงไปยังลูกค้ามากขึ้น

FanDuel เน้นว่า “บริษัทจะไม่มีการเมลหาเพื่อขอข้อมูลส่วนตัวเพิ่มเติมเด็ดขาด” ก่อนหน้า FanDuel นี้ ก็มีผู้ให้บริการปลั๊กอินอีคอมเมิร์สบนเวิร์ดเพรสชื่อดัง WooCommerce ที่เป็นลูกค้า MailChimp กลุ่มแรกๆ ที่ออกมาเตือนผู้ใช้ตัวเอง

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/mailchimp-data-breach-impact-unravels-as-second-customer-reveals-damage/

แฮ็กเกอร์ใช้ไฟล์แนบ Microsoft OneNote แพร่เชื้อมัลแวร์

พบผู้ไม่หวังดีกำลังใช้ไฟล์แนบที่เป็น OneNote แนบในเมลฟิชชิ่งเพื่อฝังมัลแวร์ที่เปิดให้เข้าถึงจากระยะไกลบนเครื่องเหยื่อ ที่นำไปสู่การติดตั้งมัลแวร์ตัวอื่นเพิ่มเติม การจารกรรมรหัสผ่าน หรือแม้แต่แฮ็กวอลเล็ตเงินคริปโตได้อีก

ถือเป็นกลยุทธ์ใหม่หลังจากแฮ็กเกอร์ใช้เทคนิคกระจายมัลแวร์บนอีเมล์ด้วยไฟล์แนบเวิร์ดและเอ็กเซลที่มีมาโครให้เปิดรันการดาวน์โหลดและติดตั้งมัลแวร์ต่อเนื่องมานานหลายปี จนกระทั่งเมื่อกรกฎาคมปีที่แล้วที่ไมโครซอฟท์ปิดการใช้มาโครในเอกสารออฟฟิศโดยดีฟอลต์

นี่จึงเป็นสาเหตุทำให้เหล่าวายร้ายต้องหาไฟล์แบบใหม่ในการฝัง ไม่ว่าจะเป็นไฟล์อิมเมจ ISO หรือไฟล์ ZIP ที่ล็อกพาสเวิร์ดเลี่ยงการโดนสแกน จนเป็นที่แพร่หลายเพราะมีช่องโหว่ช่วยอำนวยความสะดวกอย่างการปิดการแจ้งเตือนบนวินโดวส์

หรือการที่ 7-Zip ไม่ส่งต่อแท๊ก Mark-Of-The-Web (MOTW) ไปกับไฟล์ที่แตกออกมาให้วินโดวส์แจ้งเตือนระวังเปิด และเมื่อช่องโหว่ทั้งสองนี้ได้รับการแพ็ตช์อีก จึงเป็นที่มาของเทคนิคใหม่ในการแนบไฟล์ .one ที่เปิดให้แนบไฟล์อันตรายซ้อนเข้าไปข้างในวันโน้ต ที่หลอกให้คนคลิกเปิดได้อีกทอดหนึ่ง

อ่านเพิ่มเติมเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/hackers-now-use-microsoft-onenote-attachments-to-spread-malware/

แก๊งค์แรนซั่มแวร์ขโมยข้อมูลจากเจ้าของ KFC, Pizza Hut, และ Taco Bell

Yum! Brands เจ้าของเชนแบรนด์ฟาสต์ฟู้ดชื่อดังอย่างเช่น KFC, Pizza Hut, Taco Bell, และ The Habit Burger Grill กำลังตกเป็นเหยื่อการโจมตีของแรนซั่มแวร์ ที่สร้างความเสียหายมากจนทำให้ต้องปิดร้านทั่วอังกฤษถึง 300 แห่งเลยทีเดียว

บริษัท Yum! นี้เปิดร้านอาหารมากกว่า 53,000 แห่งในกว่า 155 ประเทศที่รวมถึงในไทยด้วยทั้งสามแบรนด์ใหญ่เกือบ 900 สาขา รวมทรัพย์สินมูลค่ากว่า 5 พันล้านดอลลาร์สหรัฐฯ และมีผลกำไรสุทธิต่อปีประมาณ 1.3 พันล้านดอลลาร์ฯ

สำหรับกรณีนี้ บริษัทแถลงว่าได้ดำเนินมาตรการจัดการปัญหาดังกล่าวแล้ว ไม่ว่าจะเป็นการจำกัดวงความเสียหายด้วยการตัดการเชื่อมต่อบางระบบ การติดตั้งเทคโนโลยีตรวจสอบเพิ่มเติม เป็นต้น รวมทั้งมีการสืบสวนจากบริการความปลอดภัยไซเบอร์ภายนอก พร้อมทั้งแจ้งหน่วยงานภาครัฐให้ทราบ

ล่าสุด ร้านในอังกฤษสามารถกลับมาเปิดได้ตามปกติ และดูเหมือนไม่ได้มีผลกระทบจากการโจมตีครั้งนี้มากมาย ซึ่งจากสถิติที่แก๊งค์แรนซั่มแวร์มักดูดข้อมูลไปเรียกขู่เหยื่อซ้ำนั้น ทาง Yum! ก็ยอมรับว่ามีการจารกรรมข้อมูลจริง แต่ไม่มีหลักฐานว่าเป็นข้อมูลส่วนของลูกค้า

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/ransomware-gang-steals-data-from-kfc-taco-bell-and-pizza-hut-brand-owner/

ไฟร์วอลล์ Sophos มากกว่า 4 พันเครื่อง เสี่ยงโดนโจมตีแบบ RCE

Sophos เผยว่า อุปกรณ์ไฟร์วอลล์ของตัวเองมากกว่า 4,000 เครื่องที่เข้าถึงได้ผ่านอินเทอร์เน็ตตอนนี้กำลังมีช่องโหว่ร้ายแรงที่เปิดให้รันโค้ดอันตรายได้จากระยะไกล (RCE) โดยเป็นช่องโหว่ภายใต้รหัส CVE-2022-3236 พบในส่วน User Portal และ Webadmin

ช่องโหว่ดังกล่าวค้นพบใน Sophos Firewall ตั้งแต่กันยายนที่ผ่านมา ซึ่ง Sophos ได้ปล่อยตัวแก้ไขด่วนสำหรับไฟร์วอลล์หลายเวอร์ชั่นด้วยกัน (ขณะที่ตัวแก้ไขทางการออกมาให้หลังประมาณ 6 เดือน เมื่อเดือนธันวาคมปีที่แล้ว)

ตอนนั้นบริษัทก็เตือนแล้วว่าพบการใช้บั๊ก RCE ดังกล่าวสำหรับโจมตีในวงกว้าง โดยเฉพาะกับองค์กรในเขตเอเชียใต้ แล้วตัวฮอตฟิกเมื่อกันยายนก็ออกมาครอบคลุมครบทุกรุ่นที่โดนเล่นงานได้ (v19.0 MR1/19.0.1 และรุ่นเก่ากว่า)

ซึ่งปกติไฟร์วอลล์จะเปิดการอัพเดทอัตโนมัติโดยดีฟอลต์อยู่แล้ว ยกเว้นแอดมินไปปิดออพชั่นนี้ ส่วน Sophos Firewall รุ่นเก่าๆ อาจจะต้องทำการอัพเกรดเป็นเวอร์ชั่นที่รองรับการอัพเดทฮอตฟิกอัตโนมัติ และแอดมินที่ไม่สามารถแพ็ตช์ได้ก็ยังสามารถปิดความเสี่ยงดังกล่าวได้ด้วยการปิดการเข้าถึง User Portal/Webadmin ผ่าน WAN ได้ด้วยเช่นกัน

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/over-4000-sophos-firewall-devices-vulnerable-to-rce-attacks/

งานเข้า! ข้อมูลลูกค้า Rackspace หลุดหลังแรนซั่มแวร์โจมตี

Rackspace Technology ออกมายอมรับว่า มีแฮ็กเกอร์เข้าถึงข้อมูลลูกค้าไป 27 ราย ระหว่างที่โดนแรนซั่มแวร์เล่นงานเมื่อธันวาคมที่ผ่านมา ที่ตอนนั้นทำระบบล่มครั้งใหญ่ จนลูกค้าหลายหมื่นรายใช้งานไม่ได้ไปตามๆ กันRackspace Technology ออกมายอมรับว่า มีแฮ็กเกอร์เข้าถึงข้อมูลลูกค้าไป 27 ราย ระหว่างที่โดนแรนซั่มแวร์เล่นงานเมื่อธันวาคมที่ผ่านมา ที่ตอนนั้นทำระบบล่มครั้งใหญ่ จนลูกค้าหลายหมื่นรายใช้งานไม่ได้ไปตามๆ กัน

โดยเมื่อปลายสัปดาห์ก่อน บริษัทกล่าวว่า “จากลูกค้าเกือบสามหมื่นรายที่ใช้บริการระบบอีเมล Exchange ที่โฮสต์อยู่กับเราในเวลาที่โดนโจมตีตอนนั้น ล่าสุดผลการสอบสวนยืนยันแล้วว่า ผู้โจมตีได้เข้าถึงตารางข้อมูลส่วนบุคคล (Personal Storage Table) ของลูกค้าจำนวน 27 ราย”

ผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้ใช้ชื่อว่า PLAY ได้เข้าถึงไฟล์ PST ที่ปกติใช้เก็บข้อมูลสำรองและสำเนาของข้อมูลติต่อ อีเมล และอีเวนต์ทั้งหลายของบัญชี Exchange นั้นๆ ทั้งนี้บริษัทกล่าวว่าได้แจ้งให้ลูกค้าทั้ง 27 รายนี้ทราบแล้ว และย้ำว่าไม่มีหลักฐานว่าผู้โจมตีได้เปิดดู หรือดูดข้อมูลออกไป

ตอนนี้ Rackspace กำลังกู้ข้อมูลทั้งหมดกลับมาตามที่วางแผนไว้ พร้อมๆ กับพัฒนาโซลูชั่นที่เรียกใช้ได้แบบออนดีมานด์ไว้บริการลูกค้าที่ต้องการดาวน์โหลดข้อมูลตัวเองออกมาด้วย คาดว่าโซลูชั่นนี้น่าจะเสร็จพร้อมให้ใช้ภายในอีกสองสัปดาห์ข้างหน้า

อ่านเพิ่มเติมที่นี่ – CRN

from:https://www.enterpriseitpro.net/rackspace-hackers-obtained-customer-data-in-ransomware-attack/

Fortinet เตือนเครือข่ายภาครัฐกำลังโดนเจาะช่องโหว่บน SSL-VPN ที่ออกแพ็ตช์มาแล้วของตนเอง

Fortinet กล่าวว่า มีผู้โจมตีที่ไม่ทราบตัวตนกำลังเล่นงานช่องโหว่แบบ Zero-day บน FortiOS SSL-VPN รหัส CVE-2022-42475 ที่ออกแพ็ตช์ไปเมื่อเดือนที่แล้ว ซึ่งเป้าหมายส่วนใหญ่เป็นหน่วยงานภาครัฐ หรือองค์กรที่เกี่ยวข้องกับภาครัฐเป็นหลัก

ช่องโหว่นี้เป็น Buffer Overflow แบบ Heap-based ที่อยู่ใน FortiOS SSLVPNd ที่เปิดให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตนสามารถทำให้อุปกรณ์เป้าหมายล่มได้จากระยะไกล หรือแม้กระทั่งเข้าไปรันโค้ดอันตรายได้ ซึ่งช่วงกลางเดือนธันวาคม Fortinet ได้ขอให้ลูกค้าแพ็ตช์อุปกรณ์เพื่อป้องกันการโจมตีที่เริ่มมีตั้งแต่ตอนนั้นแล้ว

สำหรับแพ็ตช์ดังกล่าว Fortinet ได้ออกมาเงียบๆ ตั้งแต่วันที่ 28 พฤศจิกายนใน FortiOS 7.2.3 ซึ่งตอนนั้นคือเงียบมาก ไม่บอกใครเลยว่าเป็นการอัพเดทเพื่อแก้ไข Zero-day แล้วลูกค้าค่อยได้รับการแจ้งเตือนเป็นการส่วนตัวในวันที่ 7 ธันวาคมผ่านตัว TLP:Amber

จากนั้นจึงค่อยเผยรายละเอียดสู่สาธารณะในวันที่ 12 ธันวาคม ซึ่งตอนนั้นก็เริ่มเฉลยแล้วว่าบั๊กดังกล่าวมีการโจมตีแล้วเป็นวงกว้าง พร้อมทั้งขอให้เหล่าแอดมินรีบเช็คร่องรอยการโดนโจมตี (Indicator of Compromise) และล่าสุดเมื่อวันพุธที่แล้วก็เผยว่าพบมีการติดตั้ง IPS Engine ที่โดนโทรจันผ่านช่องโหว่นี้ด้วย

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/fortinet-govt-networks-targeted-with-now-patched-ssl-vpn/

[คลิป VDO] ระวัง สายที่ดูเหมือน Lightning นี้อาจดูดข้อมูลทุกอย่างบนโทรศัพท์ของคุณได้

สายที่หน้าตาคล้ายกับสาย Lightning นี้ ใช้งานได้เหมือนสายแท้ทั่วไป เช่น เอามาเชื่อมคีย์บอร์ดเข้าเครื่องแมค แต่ก็อาจเป็นสายอันตรายที่บันทึกทุกอย่างที่พิมพ์เข้ามา ที่รวมถึงรหัสผ่าน พร้อมส่งข้อมูลไปยังแฮ็กเกอร์ที่อยู่ห่างเป็นโลได้ผ่านสัญญาณไร้สาย

นี่คือเครื่องมือทดสอบเจาะระบบ “รุ่นใหม่” ของสายที่กำลังเป็นข่าวอยู่ตอนนี้ ที่ทำขึ้นโดยนักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า MG ซึ่งก่อนหน้านี้เขาเคยสาธิตสายดูดข้อมูลรุ่นก่อนหน้าที่งาน DEF CON ที่เป็นงานประชุมด้านแฮ็กระบบมาแล้วเมื่อปี 2019

หลังจากงานดังกล่าว MG ระบุว่าเขาประสบความสำเร็จในการผลิตสายประเภทนี้ขายในวงกว้าง พร้อมจำหน่ายผ่านตัวแทนด้านผลิตภัณฑ์ความปลอดภัยทางไซเบอร์โดยเฉพาะอย่าง Hak5 และยิ่งเวลาผ่านไป ก็ยิ่งพัฒนาสายให้มีรูปลักษณ์หลากหลายมากขึ้นไปอีก

โดยเฉพาะตัวล่าสุดอย่างสาย Lightning to USB-C ที่ทาง MG กล่าวอย่างภูมิใจผ่านการสัมภาษณ์กับสำนักข่าว Motherboard ว่า “คนมักคิดว่าสาย Type C ปลอดภัยจากการซ่อนชิปเจาะระบบ เพราะมีขนาดเล็กเกินไป ครั้งนี้ผมเลยพิสูจน์ให้ทุกคนรู้ว่าเล็กแค่ไหนผมก็ทำได้”

สาย OMG นี้ทำงานโดยสร้างฮอตสปอตไวไฟของตัวเองให้แฮ็กเกอร์เชื่อมต่อเข้ามาได้จากภายนอก โดยมีอินเทอร์เฟซหน้าเว็บสำหรับให้แฮ็กเกอร์เข้ามาใช้งาน เช่น บันทึกการกดปุ่มต่างๆ ตัวชิปที่ฝังเข้ามาในหัวสายนี้มีขนาดเล็กเพียงแค่ครึ่งนึงของปลอกพลาสติกภายนอกเท่านั้น

เขาโฆษณาด้วยว่าสายใหม่มีฟีเจอร์ Geofencing ที่สามารถเปิดใช้หรือปิดกั้นการดูดข้อมูลจากอุปกรณ์อิงตามพิกัดสถานที่ได้ด้วย พร้อมทั้งการทำลายตัวเองถ้าสายอยู่ขอบเขตการใช้งานที่ตั้งไว้ เพื่อป้องกันข้อมูลหลุด หรือถูกเอาไปใช้งานกับเครื่องที่ไม่ต้องการ

อ่านเพิ่มเติมที่นี่ – VICE

from:https://www.enterpriseitpro.net/omg-cables-keylogger-usbc-lightning/

บทวิเคราะห์ | สายชาร์จดูดข้อมูล USB OM.G Cable ทำงานยังไง ทำไมถึงน่ากลัว แต่ก็ยังไม่ถึงขั้นล้วงข้อมูลธนาคารกันได้ง่าย ๆ

ช่วงกระแสสายล้วงข้อมูล OM.G Cable กลับมาร้อนแรงอีกครั้งแบบงง ๆ จนบางคนก็แห่ตื่นกลัวกันไปหนัก ต้องช่วยเท้าความให้สบายใจก่อนว่าจริง ๆ มันไม่ใช่ของใหม่อะไร เริ่มมีมาสักระยะตั้งแต่ปี 2019 แต่ก็จะเห็นเป็นข่าวมาพัก ๆ ถึงพัฒนาการเพิ่มเติมของมัน อย่างช่วงเดือน ก.ย. 2021 ทาง DroidSans ก็เคยลงข่าวว่าเจ้าสายนี้มีการอัปเกรดฝังชิป Wi-Fi เว็บเซิร์ฟเวอร์และ keylogger แบบใหม่เพิ่มเข้ามา ซึ่งดูแล้วสร้างความน่ากลัวหนักไปอีกขั้น ใครสนใจลองอ่านเพิ่มเติมจากข่าวนี้กันได้

อยู่ยากขึ้นทุกวัน… O.MG Cable อุปกรณ์แฮกข้อมูลแบบไร้สาย หน้าตาเหมือนสายชาร์จ USB-C และ Lightning ทั่วไป

อย่างไรก็ตาม แม้ลูกเล่นมันจะดูพิลึกพิลั่น อ่านสรรพคุณแล้วชวนขนหัวลุกกันไปหมด แต่รู้หรือไม่ว่าของจริงมันอาจไม่เลวร้ายอย่างที่เป็นกระแสขนาดนั้น ย้อนกลับไปในปี 2021 ยูทูปเบอร์สายเทคชื่อดังชื่อว่า Mrwhosetheboss และ David Bombal ได้ทำคลิปทดสอบเจ้าสาย OM.G Cable นี้ทั้งแบบ Lightning และ USB-C ให้ดู ทั้งคู่พบว่ามันใช้แฮ็กได้จริงทั้งเครื่อง Mac, iPad และมือถือ Android ตัวอย่างคร่าว ๆ คือเมื่ออุปกรณ์ทั้ง 3 โดนเสียบสาย เครื่องควบคุมสามารถที่จะส่งลิงก์ URL ไปขึ้นไปบนหน้าจอเครื่องเหยื่อได้ เช่นเพื่อนเปิดคอมนั่งทำงานอยู่ดี ๆ ส่งคลิปมีมเพลง Rick Roll หรือคลิปผีขึ้นไปกวนได้เลย

แต่ Android หนักกว่าหน่อย (เนื่องจากเป็นระบบเปิด) สามารถที่จะโดนสั่งโทรออก สั่งถ่ายรูป คล้ายกับการใช้โปรแกรม remote ระยะไกลอย่างพวก TeamViewer สั่งควบคุม Windows อีกเครื่องได้ แต่ต้องเป็นกรณีที่เครื่องไม่โดนล็อกอยู่ หน้าจอต้องติดตลอดด้วยเท่านั้น และผู้ใช้อนุญาตให้สายเส้นนี้เข้าถึงการโอนถ่ายข้อมูลในเครื่องแล้ว (ยุคนี้มือถือส่วนใหญ่เสียบแล้วไม่เชื่อมให้ทันที คนใช้ต้องไปแตะเปลี่ยนจากโหมดชาร์จเป็นถ่ายโอนก่อน)

นอกจากเคสที่ว่ามาแล้ว ตอนนี้เจ้าตัวสายสำหรับ Android ยังไม่สามารถถึงขั้นสั่งเปิดแอป, เข้าถึงแอปธนาคาร, แอปที่มีการล็อกรหัส หรือเข้าไปล้วงรหัสผ่านที่บันทึกไว้ในเครื่องอะไรได้ สาเหตุเนื่องมาจากว่าตัว OS และแอปส่วนใหญ่มีระบบป้องกันความปลอดภัยในตัวเองอยู่ คือเลือกจะไม่โชว์ข้อมูลส่วนนี้ให้ใครดูง่าย ๆ บางแอปถ้าโชว์หน้าข้อมูลสำคัญขึ้นจอเมื่อไหร่ เครื่องที่ remote มาจะเห็นได้แค่จอดำ หรือถึงจะโชว์ได้ก็มักบังคับให้ผู้ใช้ต้องใส่ PIN หรือล็อกรหัสอนุญาตก่อนเข้าหน้านั้นได้อยู่ดี เพื่อใช้กันกรณีแบบนี้โดยเฉพาะ

ถึงสิ่งที่มันทำได้ตอนนี้จะดูน่ากลัวขึ้นเยอะ จนมีกรณีที่น่าเป็นห่วงบ้าง อย่างเช่น หากผู้ใช้ทั่วไปที่ไม่ได้มีความรู้ด้านเทคมากตกเป็นเหยื่อ ไม่ล็อกหน้าจอมือถือ และจด PIN รหัสผ่านเข้าแอปธนาคารไว้ในแอปจดโน้ตที่มีความปลอดภัยต่ำ อันนี้แหละที่น่ากังวล เพราะแฮ็กเกอร์อาจ remote เข้ามาอ่านแล้วล้วงเอาไปกรอกได้ แต่นี่ก็คือเคสเลวร้ายที่สุดที่มันทำได้ ณ ตอนนี้แล้ว หากความสามารถมันไกลเกินกว่านี้อีก วันนี้ข่าวนี้อาจกลายเป็นวาระระดับโลกนอกไทยไปแล้วแน่ ๆ

ส่วนกรณี keylogger ดักแป้น อันนี้บอกฝังมาเพิ่มแล้วก็จริง แต่ยังไม่เห็นมีคนใช้จริงให้ดูอย่างละเอียด มองว่ากรณีนี้จะเกิดได้ก็คือต้องมีการฝังแอปปลอมมาลงเครื่องด้วย เพราะลำพังแป้นพิมพ์ iOS และ Android มันเป็นแป้นเสมือนที่ความปลอดภัยในตัวเองสูงเหมือนกัน คงไม่ได้ส่งจะออกข้อมูลมั่วซั่วให้ใครได้ง่าย ๆ (ต่างจากแป้นพิมพ์จริงที่เอาต่อกับคอม ซึ่งอันนั้นอาจดักมาจากตัวฮาร์ดแวร์เลย)

ฉะนั้นกรณีนี้จะเกิดได้ หลัก ๆ คือผู้ใช้ต้องไปเปิดให้เครื่องอนุญาตการลงแอปนอกสโตร์ก่อน พอทำแบบนี้สายก็จะสามารถส่งแอปเถื่อนเข้าไปติดตั้ง เท่านั้นยังไม่พอ เราต้องอนุญาตให้มันทำงานได้ตลอดเวลาอีก แม้กระทั่งตอนสลับไปเล่นแอปอื่น และมันถึงจะสามารถดักตัวหนังสือระหว่างกรอกรหัสผ่านหรือ PIN ธนาคารได้ ซึ่งบอกเลยว่ามันไม่ง่าย ไม่ใช่เสียบปุ๊บดักแป้นปั๊บได้แบบที่เค้าว่ากันแน่นอน

นอกจากความยากที่จะเข้าเครื่องเหยื่อได้ต้องมีจังหวะที่ดีมาก ๆ แล้ว ความยากอีกอย่างที่บอกไปก็คือ สายเส้นนี้ราคาแพงมาก ต้นทุนอย่างน้อย ๆ คงอยู่ที่ 120-160 เหรียญหรือราว 3,900-5,200 บาทขึ้นไป คงไม่สามารถเอามาแพร่กระจายตามท้องตลาดนัดได้แน่นอน

สิ่งที่ควรกลัวมากกว่าคือคนใกล้ตัวเรานี่แหละ จะมีคนไหนไม่หวังดี เห็นเรารวยหน่อยเลยแอบลงทุนซื้อส่งมาให้ยืมรึเปล่า ซึ่งก็เป็นสิ่งที่เราต้องระวังตัวเองเหมือนกัน ดังนั้นอย่าเชื่อใจใครง่าย ๆ ทางที่ดีควรติดตามดูข้อมูลข่าวสารที่ถูกต้องเกี่ยวกับความเคลื่อนไหวของเจ้าสายนี้ไว้เป็นประจำเรื่อย ๆ จะทำให้เราไม่ตกเป็นเหยื่อของแฮ็กเกอร์และผู้ไม่หวังดีกันครับ

from:https://droidsans.com/how-omg-cable-usb-lightning-hack-your-devices/

ขบวนการ Kinsing โจมตีคลัสเตอร์ผ่านทางการตัว PostgreSQL ที่ไม่ปลอดภัย

พบขบวนการแฮ็กระบบเพื่อแอบขุดเหมืองคริปโตที่ชื่อ Kinsing กำลังเล่นงานเซิร์ฟเวอร์ PostgreSQL ที่ตั้งค่าไม่เหมาะสม จนเปิดช่องให้สามารถเข้าถึงระบบ Kubernetes ที่อยู่เบื้องหลังได้ รวมไปถึงการใช้ช่องโหว่ในไฟล์ภาพต่างๆ บน Kubernetes เองได้ด้วย

ข้อมูลเหล่านี้รายงานโดยนักวิจัยด้านความปลอดภัยชื่อ Sunders Bruskin จาก Microsoft Defender for Cloud โดยก่อนหน้านี้ Kinsing ขึ้นชื่อเรื่องการโจมตีระบบคอนเทนเนอร์โดยเฉพาะอยู่แล้ว ด้วยการอาศัยพอร์ต API ของ Docker Daemon ที่ตั้งค่าไม่ถูกต้องจนเปิดพอร์ตทิ้งไว้ให้เข้าเจาะได้

นอกจากนี้ก็มักสรรหาช่องโหว่ใหม่ๆ สำหรับแอบเข้าไปติดตั้งซอฟต์แวร์ขุดเหมืองเงินคริปโตด้วย อย่างในอดีตจะใช้รูทคิทหลบการตรวจจับ แต่ล่าสุดไมโครซอฟท์พบการใช้การตั้งค่าที่ไม่เหมาะสมบนเซิร์ฟเวอร์ PostgreSQL จนเปิดช่องโหว่ให้เข้าถึงได้จากภายนอกเป็นจำนวนมาก

การตั้งค่านี้เกี่ยวข้องกับการยืนยันตัวตนของทรัสต์ ที่อาจถูกนำไปใช้ในทางที่ไม่ถูกต้องในการเชื่อมต่อกับเซิร์ฟเวอร์ โดยเฉพาะกรณีที่ตั้งให้รับการเชื่อมต่อจากทุกไอพี นอกจากช่องโหว่นี้แล้ว ยังมีการใช้ช่องโหว่จากระบบเวอร์ชั่นเก่าที่ยังไม่แพ็ตช์ของ PHPUnit, Liferay, WebLogic, และ WordPress อีกด้วย

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/kinsing-cryptojacking-hits-kubernetes/