Firewall ของ Zyxel กำลังเป็นเป้าหมายการโจมตีด้วย Ransomware

Zyxel ออกมาแจ้งเตือนเกี่ยวกับการพบกลุ่มแรนซัมแวร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ที่เพิ่งได้รับการแก้ไขในแพตช์ล่าสุดบน Firewall และมีหมายเลข CVE-2024-42057 ซึ่งช่องโหว่นี้ถูกใช้เป็นการโจมตีเพื่อเข้าสู่ระบบในเบื้องต้น

ผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ช่องโหว่นี้ เพื่อรันคำสั่งบนระบบปฏิบัติการบนอุปกรณ์ที่มีช่องโหว่ได้

ตามการแจ้งเตือน การโจมตีนี้จะเกิดขึ้นได้ก็ต่อเมื่ออุปกรณ์ถูกตั้งค่าให้ใช้การยืนยันตัวตนแบบ User-Based-PSK และใช้ชื่อบัญชียาวมากกว่า 28 ตัวอักษร

คำเตือนที่เผยแพร่โดย Zyxel ระบุว่า "ช่องโหว่ Command Injection ในฟีเจอร์ IPSec VPN ของ Firewall บางรุ่น สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถรันคำสั่งบนระบบปฏิบัติการบนอุปกรณ์ที่มีช่องโหว่ได้ โดยการใช้ชื่อบัญชีที่ถูกสร้างขึ้น และการโจมตีนี้จะประสบผลสำเร็จได้เฉพาะเมื่ออุปกรณ์ถูกตั้งค่าในโหมดการยืนยันตัวตนแบบ User-Based-PSK และมีชื่อบัญชียาวกว่า 28 ตัวอักษร"

ทาง Zyxel ได้ดำเนินการแก้ไขช่องโหว่เหล่านี้ โดยการปล่อยอัปเดตเฟิร์มแวร์เวอร์ชัน 5.39 สำหรับซีรีส์ ATP, USG FLEX และ USG FLEX 50(W)/USG20(W)-VPN

ทีม EMEA ของ Zyxel รายงานว่า ผู้ไม่หวังดีกำลังโจมตีอุปกรณ์ของ Zyxel ที่มีช่องโหว่ บริษัทขอแนะนำให้ผู้ใช้งานเปลี่ยนรหัสผ่านของบัญชีผู้ดูแลระบบ และบัญชีผู้ใช้เพื่อเพิ่มการป้องกัน

รายละเอียดการอัปเดตที่เผยแพร่โดยบริษัท "ทีม EMEA ของ Zyxel กำลังติดตามกิจกรรมล่าสุดของผู้ไม่หวังดีที่โจมตีอุปกรณ์ของ Zyxel ซึ่งเป็นช่องโหว่ก่อนหน้านี้ ผู้ใช้งานจึงควรเร่งเปลี่ยนรหัสผ่านบัญชีผู้ดูแลระบบ และบัญชีผู้ใช้ทั้งหมดเพื่อเป็นการป้องกันที่ดีที่สุด และจากการตรวจสอบของบริษัท และเนื่องจากข้อมูล Credentials ที่ถูกโจมตีจากช่องโหว่ก่อนหน้านี้ยังไม่ได้รับการเปลี่ยนแปลง ผู้ไม่หวังดีจึงสามารถสร้าง SSL VPN tunnels ด้วยผู้ใช้งานชั่วคราว เช่น 'SUPPOR87', 'SUPPOR817' หรือ 'VPN' และเปลี่ยน security policies เพื่อให้เข้าถึงอุปกรณ์ และเครือข่ายได้"

บริษัทด้านความปลอดภัยทางไซเบอร์ Sekoia ได้รายงานรายละเอียดเกี่ยวกับการโจมตีหลายครั้งที่ดำเนินการโดยกลุ่ม 'Helldown' Ransomware โดยผู้เชี่ยวชาญคาดการณ์ว่ากลุ่มนี้ได้โจมตี Firewall ของ Zyxel เพื่อเข้าสู่ระบบขององค์กรในขั้นตอนแรก

รายงานที่เผยแพร่โดย Zyxel ระบุว่า "หลักฐานทั้งหมดแสดงให้เห็นอย่างชัดเจนว่า Firewall ของ Zyxel ถูกโจมตีโดย Helldown รายละเอียดเกี่ยวกับกิจกรรมหลังการเจาะระบบแสดงให้เห็นเกี่ยวกับการโจมตีอย่างน้อยหนึ่งครั้ง เทคนิคของผู้โจมตีสอดคล้องกับวิธีการทั่วไปของกลุ่ม Ransomware ด้วยการเจาะเข้าถึง Firewall หรือ VPN gateways ซึ่งเป็นเทคนิคการเข้าถึงที่พบได้บ่อยในกลุ่ม Ransomware เนื่องจากเป็นการสร้างเส้นทางการเชื่อมต่อเข้าไปในระบบขององค์กรผ่านอุปกรณ์ที่มีการตรวจสอบที่ไม่เหมาะสม และสามารถเข้าถึงทรัพยากรที่สำคัญได้"

ผู้ใช้งานควรเร่งอัปเกรดเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด นอกจากนี้ยังแนะนำให้ปิดการเข้าถึง Firewall จากภายนอกบนอุปกรณ์ Firewall ที่มีช่องโหว่ชั่วคราว

ที่มา : securityaffairs