ผู้ไม่หวังดีได้ทำการ Brute-force VPN และ Bypass ผ่านระบบการยืนยันตัวตนแบบ MFA บนอุปกรณ์ SonicWall Gen6 SSL-VPN เพื่อนำไปสู่การติดตั้งเครื่องมือที่ใช้ในการโจมตีด้วยแรนซัมแวร์ได้
ในระหว่างการลักลอบโจมตีระบบ แฮ็กเกอร์ใช้เวลาประมาณ 30 ถึง 60 นาทีในการเข้าสู่ระบบ, ทำการสำรวจเครือข่าย, ทดสอบการนำข้อมูล Credentials กลับมาใช้ซ้ำในระบบภายใน และออกจากระบบ
SonicWall ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยสำหรับช่องโหว่ CVE-2024-12802 ว่าการติดตั้งตัวอัปเดต Firmware เพียงอย่างเดียวบนอุปกรณ์ Gen6 ไม่สามารถป้องกันช่องโหว่ดังกล่าวได้อย่างสมบูรณ์ และจำเป็นต้องมีการกำหนดค่าเซิร์ฟเวอร์ LDAP ใหม่แบบ Manual หากละเลยขั้นตอนดังกล่าว จะเป็นการเปิดโอกาสให้เกิดความเสี่ยงในการ Bypass ผ่านระบบป้องกันแบบ MFA ได้
นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ ReliaQuest ได้เข้าดำเนินการรับมือกับการลักลอบโจมตีระบบหลายครั้งในช่วงเดือนกุมภาพันธ์ถึงเดือนมีนาคม และได้ประเมินว่านี่เป็นการใช้ช่องโหว่ CVE-2024-12802 ในการโจมตีจริงเป็นครั้งแรก โดยมุ่งเป้าไปที่อุปกรณ์ SonicWall ในสภาพแวดล้อมที่หลากหลายของระบบ"
นักวิจัยระบุเพิ่มเติมว่า ในสภาพแวดล้อมของระบบที่ทำการตรวจสอบนั้น อุปกรณ์ต่าง ๆ ดูเหมือนจะได้รับการติดตั้งแพตช์เป็นที่เรียบร้อยแล้ว เนื่องจากทำงานอยู่บน Firmware เวอร์ชันอัปเดต แต่กลับยังคงมีช่องโหว่ เนื่องจากไม่ได้ดำเนินการตามขั้นตอนการแก้ไขที่จำเป็นอย่างครบถ้วน
อย่างไรก็ตาม สำหรับอุปกรณ์ Gen7 และ Gen8 การอัปเดตเป็น Firmware เวอร์ชันใหม่เพียงอย่างเดียว ก็เพียงพอที่จะลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ CVE-2024-12802 ได้อย่างสมบูรณ์
กิจกรรมการโจมตีผ่านช่องโหว่ดังกล่าว
ReliaQuest ระบุว่า มีเหตุการณ์หนึ่งที่แฮ็กเกอร์สามารถเข้าถึงเครือข่ายภายใน และเข้าถึงไฟล์เซิร์ฟเวอร์ที่เชื่อมต่อกับโดเมนได้ในเวลาเพียงไม่ถึงครึ่งชั่วโมง จากนั้นผู้โจมตีได้สร้างการเชื่อมต่อจากระยะไกลผ่านโปรโตคอล RDP โดยใช้รหัสผ่านของผู้ดูแลระบบในระดับ Local ที่มีการใช้งานร่วมกัน
นักวิจัยพบว่าผู้โจมตีพยายามที่จะติดตั้ง Cobalt Strike Beacon ซึ่งเป็นชุดเครื่องมือภายหลังจากการโจมตีระบบ (Post-exploitation framework) สำหรับ Command-and-control (C2) รวมถึงติดตั้งไดรเวอร์ที่มีช่องโหว่ โดยน่าจะมีจุดประสงค์เพื่อปิดการทำงานของระบบ Endpoint protection ด้วยเทคนิค Bring Your Own Vulnerable Driver (BYOVD)
อย่างไรก็ตาม โซลูชันของ Endpoint Detection and Response (EDR) ที่ติดตั้งไว้ สามารถบล็อกการทำงานของ Beacon และสกัดกั้นการดาวน์โหลดไดรเวอร์ดังกล่าวได้สำเร็จ
จากพฤติกรรมการจงใจออกจากระบบ แล้วกลับเข้ามาสู่ระบบอีกครั้งในหลายวันให้หลัง โดยในบางครั้งมีการใช้บัญชีผู้ใช้ที่แตกต่างกันออกไป ทำให้นักวิจัยเชื่อว่าผู้ไม่หวังดีรายนี้น่าจะเป็น Broker ที่นำสิทธิ์การเข้าถึงระบบเบื้องต้น (Initial access) ไปขายต่อให้กับกลุ่มผู้คุกคามรายอื่น ๆ
เมื่อปีที่ผ่านมา กลุ่มแรนซัมแวร์ Akira ได้มุ่งเป้าการโจมตีไปที่อุปกรณ์ SonicWall SSL VPN และสามารถเข้าสู่ระบบได้แม้ว่าจะมีการเปิดใช้งานระบบ MFA ในบัญชีผู้ใช้เหล่านั้นก็ตาม แต่วิธีการโจมตีระบบดังกล่าวยังไม่ได้รับการยืนยันอย่างแน่ชัด
การแก้ไขปัญหาช่องโหว่ CVE-2024-12802
ช่องโหว่ CVE-2024-12802 เกิดจากการขาดการบังคับใช้ MFA สำหรับรูปแบบการเข้าสู่ระบบแบบ UPN (UPN login format) ซึ่งส่งผลให้ผู้โจมตีที่มีข้อมูล Credentials ที่ถูกต้อง สามารถทำการยืนยันตัวตนได้โดยตรง และ Bypass ผ่านขั้นตอนการตรวจสอบด้วย MFA ได้
อุปกรณ์ SonicWall Gen6 จะต้องได้รับการอัปเดตเป็น Firmware เวอร์ชันล่าสุด จากนั้นจึงปฏิบัติตามขั้นตอนการแก้ไขช่องโหว่ตามที่ระบุไว้ในประกาศคำแนะนำจากผู้ผลิต ดังต่อไปนี้
- ลบการกำหนดค่า LDAP ปัจจุบันที่มีการใช้งาน userPrincipalName ในช่อง "Qualified login name"
- ลบรายชื่อผู้ใช้ LDAP ที่ถูก Cache ไว้ หรือแสดงอยู่ในรายการบนเครื่อง
- ลบการกำหนดค่า "User Domain" ของ SSL VPN ออก (ระบบจะเปลี่ยนกลับไปใช้ LocalDomain เป็นค่า Default)
- ทำการ Reboot อุปกรณ์ Firewall
- สร้างการกำหนดค่า LDAP ขึ้นมาใหม่ โดยไม่ต้องระบุ userPrincipalName ในช่อง "Qualified login name"
- สร้างข้อมูล Backup ชุดใหม่ เพื่อป้องกันไม่ให้เผลอกู้คืนการกำหนดค่า LDAP ที่มีช่องโหว่กลับมาใช้อีกในภายหลัง
นักวิจัยมีความมั่นใจในระดับสูงว่า ผู้ไม่หวังดีที่อยู่เบื้องหลังการลักลอบโจมตีระบบที่นำมาวิเคราะห์นี้ ได้รับสิทธิ์การเข้าถึงระบบเบื้องต้น (Initial access) โดยอาศัยการโจมตีผ่านช่องโหว่ CVE-2024-12802 ในหลากหลายภาคส่วนธุรกิจ และหลายพื้นที่
ข้อมูลจาก ReliaQuest ระบุว่า ความพยายามในการเข้าสู่ระบบโดยที่ไม่ได้รับอนุญาตซึ่งตรวจพบในเหตุการณ์ที่ทำการสืบสวนนั้น ยังคงปรากฏใน Logs ว่าเป็นขั้นตอนการทำงานปกติของระบบ MFA ซึ่งอาจทำให้ทีมรักษาความปลอดภัยเข้าใจผิดว่าระบบ MFA ยังคงทำงานอยู่ แม้ว่าในความเป็นจริงระบบจะถูก Bypass การป้องกันได้ก็ตาม
นักวิจัยระบุว่า สัญญาณ sess="CLI" ถือเป็น Indicator ที่สำคัญของการโจมตีเหล่านี้ ซึ่งแสดงให้เห็นถึงการยืนยันตัวตนผ่าน VPN ที่ใช้สคริปต์ หรือระบบอัตโนมัติ พร้อมทั้งแนะนำให้ผู้ดูแลระบบเฝ้าระวังสัญญาณดังกล่าวเป็นพิเศษ
สัญญาณที่เด่นชัดอื่น ๆ ยังรวมถึง Event IDs 238 และ 1080 ตลอดจนการเข้าสู่ระบบ VPN จากโครงสร้างพื้นฐาน VPS/VPN ที่มีความน่าสงสัย
เนื่องจากอุปกรณ์ Gen6 SSL-VPN ได้สิ้นสุดอายุการใช้งานไปแล้วเมื่อวันที่ 16 เมษายนของปีนี้ และจะไม่ได้รับการอัปเดตแพตช์ด้านความปลอดภัยอีกต่อไป จึงขอแนะนำให้องค์กรต่าง ๆ เปลี่ยนไปใช้งานอุปกรณ์เวอร์ชันที่ใหม่กว่า และยังคงได้รับการสนับสนุนอย่างต่อเนื่องจากผู้ผลิต
ที่มา : bleepingcomputer
You must be logged in to post a comment.