Cyble ได้ระบุการโจมตีทางไซเบอร์ใหม่หลายรายการในวันที่ 2-8 ตุลาคม 2024
หนึ่งในกลุ่มเป้าหมาย คือ ไลบรารี Ruby SAML, อุปกรณ์ NAS ของ D-Link หลายรุ่น, aiohttp client-server framework ที่ใช้กับ asyncio และ Python และปลั๊กอิน WordPress ยอดนิยมที่ใช้โดยร้านอาหาร และธุรกิจอื่น ๆ
Cyble sensors ยังได้ค้นพบที่อยู่อีเมลฟิชชิงใหม่กว่า 350 รายการ และการโจมตีด้วยวิธี brute-force จำนวนหลายพันรายการ
ช่องโหว่ที่ถูกโจมตีโดยผู้ไม่หวังดี
รายงานฉบับเต็มสำหรับลูกค้าได้ตรวจสอบช่องโหว่กว่า 40 รายการที่กำลังถูกใช้ในการโจมตีโดยผู้ไม่หวังดี ต่อไปนี้คือการโจมตีใหม่ สี่รายการที่ระบุในรายงาน
ช่องโหว่การตรวจสอบ Cryptographic Signature ที่ไม่เหมาะสมใน Ruby SAML
ไลบรารี Ruby SAML ใช้ในการอนุญาต SAML ทางฝั่งไคลเอ็นต์ โดย Ruby-SAML ในเวอร์ชัน 1.12.2 และ 1.13.0 ถึง 1.16.0 ไม่สามารถตรวจสอบ signature ของ SAML Response ได้อย่างเหมาะสม โดยการใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรง 9.8 (CVE-2024-45409) ผู้ไม่หวังดีที่ไม่ผ่านการยืนยันตัวตนที่สามารถเข้าถึง signed SAML document (โดย IdP) สามารถปลอมแปลง SAML Response/Assertion ด้วยเนื้อหาที่ต้องการได้ สิ่งนี้จะช่วยให้ผู้ไม่หวังดีสามารถเข้าสู่ระบบของผู้ใช้งานอื่น ๆ ภายในระบบที่มีช่องโหว่ ช่องโหว่นี้ได้รับการแก้ไขไปแล้วในเวอร์ชัน 1.17.0 และ 1.12.3
ช่องโหว่ Path Traversal ใน AIOHTTP
CVE-2024-23334 เป็นช่องโหว่ Path Traversal ใน AIOHTTP ซึ่งเป็น HTTP Client/Server Framework แบบ Asynchronous สำหรับ Asyncio และ Python เมื่อใช้ AIOHTTP เป็นเว็บเซิร์ฟเวอร์ และตั้งค่า Static Routes จะต้องระบุไดเรกทอรี่ Static Root นอกจากนี้ ตัวเลือก ‘follow_symlinks’ สามารถใช้เพื่อกำหนดว่าจะติดตาม symbolic links ภายนอกไดเรกทอรี Static Root หรือไม่ เมื่อ ‘follow_symlinks’ ถูกตั้งค่าเป็น True จะไม่มีการตรวจสอบว่าการอ่านไฟล์อยู่ภายในไดเรกทอรี Static Root หรือไม่ ซึ่งอาจนำไปสู่ช่องโหว่ Directory Traversal ทำให้เกิดการเข้าถึงไฟล์ในระบบโดยไม่ได้รับอนุญาต แม้จะไม่มีลิงก์เชิงสัญลักษณ์ก็ตาม แนะนำให้ปิดการใช้งาน follow_symlinks และใช้ Reverse Proxy เป็นมาตรการป้องกัน หรืออัปเดตเป็นเวอร์ชัน 3.9.2 ซึ่งจะช่วยแก้ไขปัญหานี้
ช่องโหว่ Hard-Coded Credentials ในอุปกรณ์ D-Link NAS
ช่องโหว่ที่มีระดับความรุนแรง 9.8 (CVE-2024-3272) กำลังถูกโจมตีในอุปกรณ์ D-Link NAS ที่หมดอายุการใช้งาน ได้แก่ DNS-320L, DNS-325, DNS-327L และ DNS-340L จนถึงวันที่ 3 เมษายน 2024 ปัญหานี้มีผลกระทบกับ unknown processing ในไฟล์ /cgi-bin/nas_sharing.cgi ของคอมโพแนนซ์ HTTP GET Request Handler การจัดการอาร์กิวเมนต์ user ด้วยข้อความ input เป็น messagebus ซึ่งจะนำไปสู่การใช้ hard-coded credentials ช่องโหว่นี้สามารถถูกโจมตีได้จากระยะไกล และการใช้ประโยชน์จากช่องโหว่นี้ได้ถูกเปิดเผยออกสู่สาธารณะแล้ว ช่องโหว่นี้มีหมายเลข VDB-259283 โดยผู้ผลิตได้รับการติดต่อในช่วงต้น และได้ยืนยันทันทีว่าผลิตภัณฑ์นี้หมดอายุการใช้งานไปแล้ว ควรทำการเลิกใช้งาน และเปลี่ยนอุปกรณ์ใหม่
ช่องโหว่ PriceListo SQL Injection
CVE-2024-38793 เป็นช่องโหว่ที่เกิดจาก Neutralization of Special Elements อย่างไม่เหมาะสม ซึ่งใช้ในช่องโหว่ของคำสั่ง SQL (‘SQL Injection’) ในปลั๊กอิน WordPress ของ PriceListo Best Restaurant Menu ทำให้เกิดการโจมตีด้วย SQL Injection ปัญหานี้มีผลกระทบกับ Best Restaurant Menu โดย PriceListo จนถึงเวอร์ชัน 1.4.1
ช่องโหว่ที่ถูกรายงานก่อนหน้านี้ใน PHP (CVE-2024-4577), GeoServer (CVE-2024-36401) และ AVTECH IP cameras (CVE-2024-7029) ก็ยังคงถูกใช้ในการโจมตีอย่างต่อเนื่องโดยผู้ไม่หวังดี
การโจมตี Brute-Force
Cyble sensors ยังตรวจพบการโจมตีด้วยวิธี brute-force จำนวนหลายพันครั้ง ในกลุ่ม 5 ประเทศที่มีการโจมตีมากที่สุด นักวิจัยของ Cyble พบว่ามีการโจมตีจากเวียดนามที่มุ่งเป้าไปที่พอร์ต 22 (43%), 445 (32%), 23 (17%) และ 3389 (8%) ขณะที่การโจมตีจากรัสเซียมุ่งเป้าไปที่พอร์ต 3389 (58%), 5900 (35%), 1433 (5%), 3306 (1%) และ 445 (1%) ส่วนกรีซ, โคลอมเบีย และบัลแกเรียก็มีการโจมตีที่มุ่งเป้าไปยังพอร์ต 1433, 5900 และ 445
แนะนำให้นักวิเคราะห์ความปลอดภัยเพิ่มการบล็อกระบบรักษาความปลอดภัยสำหรับพอร์ตที่ถูกโจมตี (เช่น 22, 3389, 443, 445, 5900 และ 3306)
แคมเปญฟิชชิงใหม่ที่ถูกระบุ
Cyble sensors ยังตรวจพบที่อยู่อีเมลฟิชชิงใหม่ 351 รายการ ด้านล่างนี้คือหกแคมเปญฟิชชิงที่น่าสนใจที่ Cyble ระบุ
คำแนะนำ
- การบล็อกแฮช, URLs และข้อมูลอีเมลที่เป็นเป้าหมายบนระบบรักษาความปลอดภัย
- ดำเนินการแพตช์ช่องโหว่ที่เปิดอยู่ทั้งหมดที่ระบุไว้โดยทันที และตรวจสอบการแจ้งเตือน Suricata ที่สำคัญในเครือข่ายภายในอย่างสม่ำเสมอ
- ตรวจสอบ ASN และ IP ของผู้โจมตีอย่างต่อเนื่อง
- บล็อก IP ที่ใช้ในการโจมตีแบบ Brute Force และพอร์ตที่ถูกโจมตีที่ระบุไว้
- ดำเนินการรีเซ็ตชื่อผู้ใช้ และรหัสผ่านเริ่มต้นโดยทันทีเพื่อลดความเสี่ยงจากการโจมตีแบบ Brute Force และบังคับให้มีการเปลี่ยนแปลงเป็นระยะ ๆ
- สำหรับเซิร์ฟเวอร์ ให้ตั้งรหัสผ่านที่รัดกุม และคาดเดาได้ยาก
ที่มา : cyble
You must be logged in to post a comment.