ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs