CISA แจ้งเตือนพบการโจมตีที่มุ่งเป้าหมายไปยังช่องโหว่ของ TP-Link, Apache และ Oracle

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities (KEV) ซึ่งเป็นรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี

ช่องโหว่ที่ถูกเพิ่มไปใน Known Exploited Vulnerabilities (KEV) มีดังนี้

CVE-2023-1389 (คะแนน CVSS: 8.8) - ช่องโหว่ TP-Link Archer AX-21 Command Injection เป็นช่องโหว่ที่เกี่ยวข้องกับ command injection ที่ส่งผลกระทบต่อเราเตอร์ TP-Link Archer AX-21 ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล โดยทาง Zero Day Initiative ของ Trend Micro พบว่าช่องโหว่ดังกล่าวถูกใช้โดย Hacker เกี่ยวข้องกับ Mirai Botnet ตั้งแต่วันที่ 11 เมษายน 2023

CVE-2021-45046 (คะแนน CVSS: 9.0) - Apache Log4j2 Deserialization เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อไลบรารี Apache Log4j2 logging โดยเริ่มพบการใช้โจมตีในเดือนธันวาคม 2021 แต่ยังไม่มีข้อมูลที่ชัดเจนถึงกระบวนการโจมตี โดย GreyNoise ได้ว่ามี IP ที่ได้ใช้ช่องโหว่ดังกล่าวในการโจมตีถึง 74 รายการ ในช่วง 30 วันที่ผ่านมา ซึ่งรวมถึงการโจมตีผ่าน CVE-2021-44228 หรือ Log4Shell อีกด้วย

CVE-2023-21839 (คะแนน CVSS: 7.5) - เป็นช่องโหว่ใน Oracle WebLogic Server เวอร์ชัน 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0.0 ทำให้สามารถเข้าถึงข้อมูลที่มีความสำคัญโดยไม่ได้รับการตรวจสอบเพื่อเข้าถึงเครือข่ายผ่าน T3, IIOP ทั้งนี้ช่องโหว่ดังกล่าวได้ถูกอัปเดตด้านความปลอดภัยแล้วในเดือนมกราคม 2023 ที่ผ่านมา

โดยหน่วยงาน Federal Civilian Executive Branch (FCEB) จำเป็นต้องเร่งทำการอัปเดตความปลอดภัยตามที่ผู้ให้บริการได้ประกาศออกมาภายในวันที่ 22 พฤษภาคม 2023 เพื่อรักษาความปลอดภัยเครือข่ายของตนจากภัยคุกคาม

ทั้งนี้การแจ้งเตือนดังกล่าวเกิดขึ้นหนึ่งเดือนหลังจาก VulnCheck ได้เปิดเผยรายงานการค้นพบช่องโหว่กว่า 40 รายการ ได้ถูกนำมาใช้ในการโจมตีในปี 2022

จากช่องโหว่ทั้งหมด 42 รายการ พบว่าช่องโหว่ส่วนใหญ่เกี่ยวข้องกับการใช้ประโยชน์จากบ็อตเน็ตที่มีลักษณะคล้าย Mirai Botnet 27 รายการ ตามมาด้วยกลุ่มแรนซัมแวร์ 6 รายการ และ Hacker กลุ่มอื่น ๆ 9 รายการ

ที่มา : thehackernews