Juniper Networks ได้ออกอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่ของ Junos OS ที่กำลังถูกแฮ็กเกอร์ชาวจีนใช้โจมตีเพื่อเข้าถึงเราเตอร์ในลักษณะ backdoor เพื่อเข้าถึงเครือข่ายโดยไม่ถูกตรวจพบ
ช่องโหว่นี้มีความรุนแรงระดับปานกลาง (CVE-2025-21590) และถูกค้นพบโดย Matteo Memelli วิศวกรด้านความปลอดภัยของ Amazon โดยเป็นช่องโหว่ Improper Isolation or Compartmentalization ซึ่งหากโจมตีได้สำเร็จจะทำให้ผู้โจมตีที่มีสิทธิ์สูงในระบบ สามารถเรียกใช้โค้ดที่เป็นอันตรายบนเราเตอร์ที่มีช่องโหว่ได้ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้
Juniper ได้ออกประกาศเตือนเมื่อวันพุธที่ผ่านมาว่า "มีรายงานอย่างน้อยหนึ่งกรณีของการโจมตีโดยใช้ช่องโหว่นี้ (แต่ไม่ได้เกิดที่ Amazon) ถูกรายงานไปยัง Juniper SIRT ผู้ใช้งานควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่โดยเร็วที่สุดเท่าที่จะเป็นไปได้ และในระหว่างนี้ให้ดำเนินมาตรการเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว"
"แม้ว่ารายชื่อแพลตฟอร์มทั้งหมดที่ได้รับการแก้ไขยังอยู่ระหว่างการตรวจสอบ แต่ขอแนะนำอย่างยิ่งให้ลดความเสี่ยงจากการถูกโจมตีโดยจำกัดการเข้าถึง shell เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น"
ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ NFX, Virtual SRX, SRX-Series Branch, SRX-Series HE, EX-Series, QFX-Series, ACX และ MX-Series โดยได้รับการแก้ไขแล้วในเวอร์ชัน 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 24.2R1-S2, 24.2R2, 24.4R1 และเวอร์ชันถัดไปทั้งหมด
CISA ยังได้เพิ่ม CVE-2025-21590 ลงในรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องเมื่อวันพฤหัสบดีที่ผ่านมา (13 มีนาคม 2025) และสั่งให้หน่วยงาน Federal Civilian Executive Branch (FCEB) ทำการอัปเดตอุปกรณ์ Juniper ที่มีช่องโหว่ภายในวันที่ 3 เมษายน 2025 ตามข้อกำหนดของ Binding Operational Directive (BOD) 22-01
โดย CISA ระบุว่า "ช่องโหว่ประเภทนี้มักถูกใช้เป็นช่องทางโจมตีโดยกลุ่มอาชญากรทางไซเบอร์ และก่อให้เกิดความเสี่ยงอย่างมากต่อระบบของหน่วยงานรัฐบาลกลาง"
การถูกโจมตีทางไซเบอร์โดยแฮ็กเกอร์จากจีน
คำเตือนด้านความปลอดภัยของ Juniper ถูกเผยแพร่ในวันเดียวกับรายงานของ Mandiant ที่เปิดเผยว่าแฮ็กเกอร์จากจีนได้ใช้ช่องโหว่ด้านความปลอดภัยนี้มาตั้งแต่ปี 2024 เพื่อฝัง backdoor ในเราเตอร์ของ Juniper ที่หมดอายุจากการสนับสนุน (End-of-Life หรือ EoL) แล้ว
Backdoor ทั้ง 6 ตัวที่ถูกใช้ในแคมเปญนี้มีวิธีการสื่อสารกับ C2 Server ที่แตกต่างกัน และใช้ C2 Server แบบ hardcoded ที่ถูกกำหนดไว้แยกจากกัน
บริษัทด้านความปลอดภัยทางไซเบอร์ได้อธิบายว่า "ในช่วงกลางปี 2024 Mandiant พบว่าผู้โจมตีได้ติดตั้ง backdoor ที่ถูกปรับแต่งให้ทำงานบนเราเตอร์ Junos OS ของ Juniper Networks และ Mandiant ได้ระบุว่า backdoor เหล่านี้มาจากกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับจีน ที่ใช้ชื่อ UNC3886 และ Mandiant ยังพบ backdoor แบบ TINYSHELL ที่ฝังอยู่บนเราเตอร์ Junos OS ของ Juniper Networks หลายรายการ"
UNC3886 เป็นที่รู้จักในฐานะกลุ่มแฮ็กเกอร์ที่ใช้การโจมตีที่มีความซับซ้อน โดยอาศัยช่องโหว่แบบ zero-day ในอุปกรณ์เครือข่ายต่าง ๆ (edge networking devices) และแพลตฟอร์ม virtualization
เมื่อต้นปีที่ผ่านมา นักวิจัยจาก Black Lotus Labs รายงานว่า มีผู้ไม่หวังดีที่ไม่สามารถระบุตัวตนได้กำลังโจมตีอุปกรณ์เครือข่ายของ Juniper ที่ทำหน้าที่เป็น VPN gateways โดยใช้มัลแวร์ที่เรียกว่า J-magic ที่จะเปิดช่องทาง reverse shell หากตรวจพบ "magic packet" ในเครือข่าย
แคมเปญ J-magic นี้มีการดำเนินการมาตั้งแต่กลางปี 2023 จนถึงประมาณกลางปี 2024 โดยมีเป้าหมายเพื่อเข้าถึงอุปกรณ์ที่ถูกโจมตีในระยะยาวโดยไม่ถูกตรวจพบ
Black Lotus Labs ได้เชื่อมโยงมัลแวร์นี้เข้ากับ backdoor SeaSpy โดยยังไม่มีข้อมูลสนับสนุนที่แน่ชัด นอกจากนี้ กลุ่มแฮ็กเกอร์ชาวจีนอีกกลุ่มหนึ่งที่ถูกติดตามในชื่อ UNC4841 เคยใช้มัลแวร์ตัวนี้เมื่อสองปีก่อนเพื่อโจมตี Barracuda Email Security Gateways และแทรกซึมเข้าสู่เซิร์ฟเวอร์อีเมลของหน่วยงานรัฐบาลสหรัฐฯ อีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.