มีการสังเกตพบพฤติกรรมของแฮ็กเกอร์ในการพยายามโจมตีอุปกรณ์ที่ไม่ได้รับการดูแล และยังคงมีช่องโหว่ด้านความปลอดภัยเก่าในปี 2022 และ 2023
GreyNoise แพลตฟอร์มเฝ้าระวังภัยคุกคามรายงานว่า พบการโจมตีโดยใช้ช่องโหว่ CVE-2022-47945 และ CVE-2023-49103 เพิ่มมากขึ้น ซึ่งส่งผลกระทบต่อ ThinkPHP Framework และ ownCloud Solution โอเพ่นซอร์สสำหรับการแชร์ และซิงค์ไฟล์
ช่องโหว่ทั้งสองรายการมีความรุนแรงในระดับ Critical และสามารถถูกใช้เพื่อเรียกใช้คำสั่งบนระบบปฏิบัติการได้ หรือดึงข้อมูลสำคัญ เช่น รหัสผ่านผู้ดูแลระบบ, ข้อมูลเซิร์ฟเวอร์อีเมล และ license key
ช่องโหว่แรก เป็นช่องโหว่ local file inclusion (LFI) ซึ่งอยู่ในพารามิเตอร์ language ของ ThinkPHP Framework เวอร์ชันก่อน 6.0.14 โดยผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่นี้เพื่อเรียกใช้คำสั่งระบบปฏิบัติการได้ หากมีการเปิดใช้งานฟีเจอร์ language pack
Akamai รายงานเมื่อช่วงฤดูร้อนปีที่แล้วว่า กลุ่มแฮ็กเกอร์จากจีนได้ใช้ช่องโหว่ดังกล่าวในการโจมตีแบบจำกัดเป้าหมายมาตั้งแต่เดือนตุลาคม 2023
ตามรายงานของ GreyNoise ช่องโหว่ CVE-2022-47945 กำลังถูกโจมตีในปริมาณสูงขึ้นมาก โดยมีการโจมตีมาจาก IP ต้นทางที่เพิ่มขึ้นอย่างต่อเนื่อง
โดยรายงานระบุว่า “GreyNoise ตรวจพบ IP ที่ไม่ซ้ำกัน จำนวน 572 IPs ที่พยายามโจมตีโดยใช้ช่องโหว่นี้ และมีจำนวนเพิ่มขึ้นอย่างเห็นได้ชัดในช่วงไม่กี่วันที่ผ่านมา”
ทั้งนี้ แม้ว่าจะมีคะแนนการประเมิน Exploit Prediction Scoring System (EPSS) ของช่องโหว่นี้จะอยู่ในระดับต่ำเพียง 7% และรายการช่องโหว่นี้ยังไม่ได้รวมอยู่ในแค็ตตาล็อกของ CISA (Known Exploited Vulnerabilities - KEV) แต่กลับพบว่ามีการโจมตีเกิดขึ้นในปริมาณสูงขึ้นอย่างต่อเนื่อง
ช่องโหว่ที่สองส่งผลกระทบต่อ ownCloud ซอฟต์แวร์แชร์ไฟล์แบบโอเพ่นซอร์สยอดนิยม ซึ่งเกิดจากการที่แอปฯ ต้องพึ่งพาไลบรารีของ third-party ที่ทำให้รายละเอียดของ PHP environment ถูกเปิดเผยได้ผ่าน URL
ไม่นานหลังจากที่นักพัฒนาเปิดเผยช่องโหว่นี้ครั้งแรกในเดือนพฤศจิกายน 2023 แฮ็กเกอร์ก็เริ่มโจมตีโดยใช้ช่องโหว่นี้เพื่อขโมยข้อมูลสำคัญจากระบบที่ยังไม่ได้รับการอัปเดต
หนึ่งปีต่อมา CVE-2023-49103 ถูกจัดอยู่ใน 15 ช่องโหว่ที่ถูกใช้โจมตีมากที่สุดในปี 2023 โดย FBI, CISA และ NSA
แม้จะผ่านไปกว่า 2 ปี นับตั้งแต่ที่ผู้พัฒนาออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ระบบจำนวนมากยังคงไม่ได้รับการแพตช์ และยังเปิดช่องให้ถูกโจมตีได้
GreyNoise พบว่าการโจมตีที่ใช้ช่องโหว่ CVE-2023-49103 มีจำนวนเพิ่มขึ้นเมื่อเร็ว ๆ นี้ โดยมีกิจกรรมที่มาจาก 484 IP ต้นทางที่ไม่ซ้ำกัน
เพื่อป้องกันระบบจากการถูกโจมตี ผู้ใช้ควรอัปเกรด ThinkPHP เป็นเวอร์ชัน 6.0.14 ขึ้นไป และ อัปเดต ownCloud GraphAPI เป็นเวอร์ชัน 0.3.1 หรือใหม่กว่า
นอกจากนี้ แนะนำให้ปิดการใช้งานระบบที่อาจมีความเสี่ยงชั่วคราว หรือใช้งานหลังไฟร์วอลล์ เพื่อลดช่องทางการโจมตีจากแฮ็กเกอร์
ที่มา : bleepingcomputer.com
You must be logged in to post a comment.