CISA เรียกร้องให้หน่วยงานต่าง ๆ แก้ไขช่องโหว่ระดับ Critical ใน “Array Networks” ที่กำลังถูกนำไปใช้ในการโจมตี

เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ได้รับการแก้ไขไปแล้ว ซึ่งส่งผลกระทบต่อ Array Networks AG และ vxAG secure access gateways เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) หลังมีรายงานการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

ช่องโหว่นี้มีหมายเลข CVE-2023-28461 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตน ซึ่งอาจถูกโจมตีโดยการเรียกใช้โค้ดจากระยะไกลได้ โดย Array Networks ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้วในเวอร์ชัน 9.4.0.484 ตั้งแต่เดือนมีนาคม 2023

Array Networks ระบุว่า "ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Array AG/vxAG เป็นช่องโหว่ด้านความปลอดภัยบนเว็บที่ทำให้ผู้โจมตีสามารถเข้าถึง filesystem หรือเรียกใช้โค้ดจากระยะไกลบน SSL VPN gateway ได้ โดยใช้ flags attribute ใน HTTP header โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน"

การเพิ่มช่องโหว่นี้ในรายการ KEV catalog เกิดขึ้นไม่นานหลังจากบริษัทด้านความปลอดภัยไซเบอร์ Trend Micro เปิดเผยว่ากลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Earth Kasha (หรือที่รู้จักกันในชื่อ MirrorFace) ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ต่าง ๆ เช่น Array AG (CVE-2023-28461), Proself (CVE-2023-45727) และ Fortinet FortiOS/FortiProxy (CVE-2023-27997) เพื่อเข้าถึงระบบในเบื้องต้น

Earth Kasha มีชื่อเสียงจากการโจมตีองค์กรในญี่ปุ่นอย่างกว้างขวาง อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาพบว่ากลุ่มนี้ยังได้โจมตีไต้หวัน, อินเดีย และยุโรปอีกด้วย

เมื่อต้นเดือนนี้ ESET ยังได้เปิดเผยแคมเปญของ Earth Kasha ที่มุ่งเป้าหมายไปยังหน่วยงานทางการทูตที่ไม่เปิดเผยชื่อในสหภาพยุโรป เพื่อส่ง backdoor ที่ชื่อว่า ANEL โดยใช้ประโยชน์จากงาน World Expo 2025 ที่มีกำหนดจัดขึ้นในโอซาก้า ประเทศญี่ปุ่น ในเดือนเมษายน 2025

จากการโจมตีที่ยังคงดำเนินอยู่ หน่วยงานของรัฐบาลกลาง (FCEB) ได้รับคำแนะนำให้ดำเนินการอัปเดตแพตช์อุปกรณ์ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันเครือข่ายของตน

VulnCheck ได้ให้ข้อมูลโดยระบุว่า การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่กลุ่มแฮ็กเกอร์จีน 15 กลุ่ม จากทั้งหมด 60 กลุ่ม มีความเชื่อมโยงกับการใช้ช่องโหว่ที่ถูกโจมตีบ่อยที่สุด 15 รายการในปี 2023

โดย VulnCheck ระบุว่า พบ hosts ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 440,000 รายการ ที่มีแนวโน้มอาจตกเป็นเป้าหมายของการโจมตีได้

Patrick Garrity จาก VulnCheck ระบุว่า "องค์กรควรประเมินความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้, เพิ่มความสามารถในการตรวจสอบความเสี่ยงที่อาจเกิดขึ้นกับระบบ, ใช้ประโยชน์จากข้อมูลข่าวสารด้านภัยคุกคาม, รักษามาตรฐานการจัดการแพตช์ที่มีประสิทธิภาพ และดำเนินการควบคุมเพื่อลดความเสี่ยง เช่น ลดการเปิดเผยอุปกรณ์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตให้น้อยที่สุด"

ที่มา : thehackernews