เมื่อวันพุธที่ผ่านมา สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เพิ่มช่องโหว่ 3 รายการลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยแต่ละรายการส่งผลกระทบต่อ AMI MegaRAC, เราเตอร์ D-Link DIR-859 และ Fortinet FortiOS โดยอ้างอิงจากหลักฐานจากการโจมตีจริง
รายละเอียดช่องโหว่ 3 รายการ มีดังนี้
- CVE-2024-54085 (คะแนน CVSS: 10.0) - ช่องโหว่ authentication bypass by spoofing ในอินเทอร์เฟซ Redfish Host ของ AMI MegaRAC SPx ซึ่งอาจทำให้ผู้โจมตีจากภายนอกสามารถเข้าควบคุมระบบได้
- CVE-2024-0769 (คะแนน CVSS: 5.3) - ช่องโหว่ path traversal ในเราเตอร์ D-Link DIR-859 ซึ่งทำให้ผู้โจมตีสามารถยกระดับสิทธิ์ และเข้าควบคุมอุปกรณ์โดยไม่ได้รับอนุญาต (ยังไม่มีแพตช์แก้ไข)
- CVE-2019-6693 (คะแนน CVSS: 4.2) - ช่องโหว่ hard-coded cryptographic key ใน FortiOS, FortiManager และ FortiAnalyzer ที่ใช้สำหรับเข้ารหัสข้อมูลรหัสผ่านใน config CLI ซึ่งอาจทำให้ผู้โจมตีที่สามารถเข้าถึง config CLI หรือไฟล์สำรอง CLI สามารถถอดรหัสข้อมูลที่มีความสำคัญได้
เมื่อต้นปีนี้ Eclypsium บริษัทด้านความปลอดภัยเฟิร์มแวร์ ซึ่งเป็นผู้เปิดเผยช่องโหว่ CVE-2024-54085 ระบุว่า ช่องโหว่นี้สามารถถูกใช้ในการโจมตีที่หลากหลาย รวมถึงการติดตั้งมัลแวร์ และการแก้ไขเฟิร์มแวร์ของอุปกรณ์
ปัจจุบันยังไม่มีรายละเอียดว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีอย่างไร และใครเป็นผู้อยู่เบื้องหลัง และความเสียหายของการโจมตีเป็นอย่างไร โดยทีม Hacker News ได้ติดต่อ Eclypsium เพื่อขอความคิดเห็น และจะอัปเดตหากได้รับการตอบกลับ
การโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-0769 ถูกเปิดเผยโดยบริษัทข่าวกรองภัยด้านคุกคาม GreyNoise เมื่อหนึ่งปีที่ผ่านมา โดยเป็นส่วนหนึ่งของแคมเปญที่มีเป้าหมายเพื่อดึงข้อมูลชื่อบัญชี, รหัสผ่าน, groups และคำอธิบายของผู้ใช้งานทั้งหมดในอุปกรณ์
สิ่งที่ควรทราบคือ เราเตอร์ D-Link DIR-859 หมดอายุการใช้งาน (EoL) แล้ว ตั้งแต่เดือนธันวาคมปี 2020 หมายความว่าช่องโหว่นี้จะไม่ได้รับการแก้ไขอีกต่อไป แนะนำให้ผู้ใช้งานเลิกใช้อุปกรณ์นี้ และเปลี่ยนเป็นรุ่นใหม่
สำหรับช่องโหว่ CVE-2019-6693 มีรายงานจากผู้ให้บริการด้านความปลอดภัยหลายรายว่า กลุ่มผู้โจมตีที่เกี่ยวข้องกับแรนซัมแวร์ Akira ได้ใช้ช่องโหว่นี้เป็นช่องทางในการเข้าถึงเครือข่ายเป้าหมายในเบื้องต้น
เนื่องจากช่องโหว่เหล่านี้กำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลางของสหรัฐ (Federal Civilian Executive Branch: FCEB) จำเป็นต้องดำเนินการป้องกันตามแนวทางที่กำหนดภายในวันที่ 16 กรกฎาคม 2025 เพื่อความปลอดภัยของเครือข่าย
ที่มา: thehackernews
You must be logged in to post a comment.