กลุ่มแฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ server-side request forgery (SSRF) บน Ivanti Connect Secure, Policy Secure และ ZTA gateways ในการติดตั้ง DSLog backdoor ใหม่บนอุปกรณ์เหยื่อ

ช่องโหว่นี้มีหมายเลข CVE-2024-21893 ถูกเปิดเผยครั้งแรกในรูปแบบ Zero-Day ที่กำลังถูกใช้ในการโจมตีในวันที่ 31 มกราคม 2024 พร้อม ๆ กับการอัปเดตความปลอดภัย และวิธีการรับมือกับภัยคุกคามจาก Ivanti

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SAML component (Security Assertion Markup Language) ซึ่งทำให้แฮ็กเกอร์สามารถข้ามขั้นตอนในการยืนยันตัวตน (Bypass authentication) และสามารถเข้าถึงข้อมูลที่ถูกควบคุมไว้ได้บน Ivanti gateways เวอร์ชัน 9.x และ 22.x

การอัปเดตที่สามารถแก้ไขช่องโหว่นี้ได้คือ Ivanti Connect Secure เวอร์ชัน 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 และ 22.5R2.2, Ivanti Policy Secure เวอร์ชัน 22.5R1.1 และ ZTA เวอร์ชัน 22.6R1.3

ในวันที่ 5 กุมภาพันธ์ 2024 Shadowserver ผู้ให้บริการเฝ้าระวังภัยคุกคามทางไซเบอร์ออกมารายงานว่า พบกลุ่มแฮ็กเกอร์หลายกลุ่มพยายามที่จะโจมตีโดยใช้ช่องโหว่นี้ โดยที่บางกลุ่มใช้ PoC หรือ proof-of-concept ซึ่งถูกเปิดเผยโดย Rapid7 ในการโจมตี ทั้งนี้ยังไม่มีรายงานในส่วนของอัตราความสำเร็จของการโจมตี ณ ช่วงเวลานั้น

รายงานฉบับใหม่จาก Orange Cyberdefense ออกมายืนยันถึงความสำเร็จของการโจมตีช่องโหว่ CVE-2024-21893 สำหรับการติดตั้ง backdoor ตัวใหม่ที่มีชื่อว่า DSLog ซึ่งทำให้กลุ่มแฮ็กเกอร์สามารถ execute คำสั่งจากระยะไกล บนเครื่อง Ivanti เซิร์ฟเวอร์ที่ถูกโจมตีได้

Orange ยังระบุเพิ่มเติมว่าสังเกตพบ backdoor ตัวใหม่นี้ในครั้งแรก ตั้งแต่วันที่ 3 กุมภาพันธ์ 2024 หลังจากวิเคราะห์ อุปกรณ์ที่ถูกโจมตี ซึ่งได้ดำเนินการลดผลกระทบด้วย XML mitigation ตามที่ Ivanti แนะนำ (บล็อก API endpoints ทั้งหมด) แต่ยังไม่ได้อัปเดตแพตซ์

DSLog backdoor

จากการตรวจสอบ Log บนอุปกรณ์ Ivanti ที่ถูกโจมตีแล้วนั้น กลุ่มนักวิจัยจาก Orange พบ backdoor ถูกป้อนคำสั่งเพิ่มเติมใส่ code บนอุปกรณ์ โดยการขอยืนยันตัวตนผ่าน SAML ซึ่งประกอบด้วยหลายคำสั่งภายในที่ถูก encoded ไว้แล้ว

ซึ่งคำสั่งเหล่านี้นั้นสามารถถูกเรียกใช้งานเพื่อเปิดเผยข้อมูลของระบบภายใน และทำให้สามารถเข้าถึงไฟล์ได้จากภายนอก (index2.txt) แสดงให้เห็นว่าจุดประสงค์ของแฮ็กเกอร์คือการเก็บ และรวบรวมข้อมูลภายในก่อนการโจมตี และยืนยันได้ว่าถูกเข้าถึงสิทธิ์ Root แล้ว

ภายใต้คำสั่งผ่านระบบ SAML นั้นแสดงให้เห็นถึงการพยายามที่จะรักษาความปลอดภัยสิทธิ์การอ่าน/เขียนระบบไฟล์บนอุปกรณ์ที่ถูกโจมตี, การตรวจจับการแก้ไข logging script อย่างถูกต้อง (DSLog.

กลุ่ม Lazarus ใช้ช่องโหว่ Zero-Day ใน Windows เพื่อรับสิทธิ์ Kernel

กลุ่ม Hacker ชาวเกาหลีเหนือกลุ่ม Lazarus Group ได้ใช้ช่องโหว่ Zero-Day ในไดรเวอร์ Windows AppLocker (appid.

 

Microsoft แจ้งว่า การอัปเดตประจำเดือนกุมภาพันธ์ 2024 อาจติดตั้งไม่สำเร็จบนระบบ Windows 11 เวอร์ชัน 22H2 และ 23H2 โดยผู้ใช้จะพบ error 0x800F0922 และการดาวน์โหลดจะหยุดลงที่ 96% (more…)

Apple ได้เพิ่มความสามารถของ iMessage ใหม่ โดยเป็น post-quantum cryptographic protocol ในชื่อ PQ3 ซึ่งได้รับการออกแบบมาเพื่อปกป้องการเข้ารหัสจากการโจมตี quantum attacks (more…)

 

กลุ่ม LockBit กำลังกลับมาดำเนินการโจมตีด้วยแรนซัมแวร์อีกครั้ง ภายในระยะเวลาไม่ถึง 1 อาทิตย์ หลังจากที่เจ้าหน้าที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของพวกเขา โดยกลุ่มนี้ได้ย้ายไปยังระบบใหม่ และยังคงข่มขู่ว่าจะมุ่งเน้นโจมตีหน่วยงานรัฐบาลมากขึ้น (more…)

นักวิจัยด้านความปลอดภัย แจ้งเตือนการพบแฮ็กเกอร์ที่กำลังใช้ประโยชน์จากบริการ Google Cloud Run ในการแพร่กระจายมัลแวร์ Banking Trojan ไปยังธนาคารจำนวนมาก เช่น Astaroth, Mekotio และ Ousaban (more…)

แฮ็กเกอร์กำลังใช้เครื่องมือโอเพนซอร์ส network mapping ที่ชื่อว่า SSH-Snake เพื่อค้นหา private keys ของผู้ใช้โดยไม่ให้ถูกตรวจจับได้ เพื่อเข้าถึงระบบอื่น ๆ ภายในเครือข่ายเดียวกันของเหยื่อ (more…)

Joomla เปิดเผยช่องโหว่ 5 รายการ ใน Joomla content management system ซึ่งอาจทำให้เกิดการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนเว็บไซต์ที่มีช่องโหว่ได้ โดยช่องโหว่เหล่านี้ส่งผลกระทบต่อ Joomla หลายเวอร์ชัน ทาง Joomla จึงได้แนะนำให้ทำการอัปเดตเป็นเวอร์ชัน 5.0.3 และ 4.4.3 ใน CMS เพื่อป้องกันช่องโหว่ (more…)

VMware แจ้งเตือนให้ผู้ดูแลระบบทำการลบ authentication plugin ที่ได้ยกเลิกการใช้งานแล้ว ซึ่งมีช่องโหว่ 2 รายการที่สามารถโจมตีแบบ authentication relay และ session hijack attacks ใน Windows domain (more…)

หลังจากที่ Microsoft ได้เผยแพร่ช่องโหว่ zero-day บน Exchange Server ในวันที่ 13 กุมภาพันธ์ 2024 หมายเลข CVE-2024-21410 โดยปัจจุบันพบว่ามี Exchange Server กว่า 28,500 รายการ ที่ถูกระบุว่ามีความเสี่ยงจากช่องโหว่ดังกล่าว (more…)