Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

ช่องโหว่ถูกพบในซอฟต์แวร์ SD-WAN vManage (CVE-2021-1479) เวอร์ชั่น 20.4 และก่อนหน้านั้น เป็น pre-authentication นั่นหมายความว่าสามารถรันคำสั่งอันตราย (RCE) ได้โดยไม่จำเป็นที่จะต้องพิสูจน์ตัวตนก่อน มีความรุนแรงระดับสูงมาก (9.8/10) สามารถโจมตีได้ด้วยการส่ง request ที่ถูกดัดแปลงไปยังอุปกรณ์ที่มีช่องโหว่จากระยะไกล ทำให้เกิด buffer overflow นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอื่นๆ อีก 2 รายการ คือ CVE-2021-1137 ในส่วนของ user management และ CVE-2021-1480 ในส่วนของ system file transfer ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้ การแพทช์สามารถทำได้ด้วยการอัพเดตเป็นเวอร์ชั่นล่าสุด ได้แก่ 19.2 ไปเป็น 19.2.4, 20.3 ไปเป็น 20.3.3, 20.4 ไปเป็น 20.4.1 และเวอร์ชั่นอื่นๆ ก่อนหน้า อาทิเช่น 18.4 และก่อนหน้า, 19.3 และ 20.1 ให้อัพเดตเป็นเวอร์ชั่นอื่นที่ใหม่กว่านั้น จากนั้นจึงค่อยทำการอัพเดตเป็นเวอร์ชั่นล่าสุด

นอกเหนือจากนี้ยังการเปิดเผยช่องโหว่อื่นๆ อาทิเช่น CVE-2021-1459 ช่องโหว่ RCE ในส่วน interface ของเว็ปเพจสำหรับอุปกรณ์ Cisco Small Business RV110W, RV130, RV130W และ RV215W router ซึ่งช่องโหว่นี้จะไม่ได้รับการแก้ไขแล้ว เนื่องจากอุปกรณ์เป็น end-of-life ไปแล้ว และมีการแก้ไขช่องโหว่ RCE แบบไม่ต้องพิสูจน์ตัวตนในซอฟต์แวร์ของผลิตภัณฑ์ Cisco SD-WAN (CVE-2021-1300) ที่ถูกพบในเดือนมกราคมที่ผ่านมา รวมถึงช่องโหว่ของ SD-WAN อื่นๆ อีก 2 รายการที่ถูกพบเมื่อเดือนกรกฎาคมปีที่แล้ว

ที่มา: bleepingcomputer

SAP และ Onapsis บริษัทรักษาความปลอดภัยทางด้านคลาวด์ได้ออกเเจ้งเตือนลูกค้า SAP ให้รีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดหลังพบกลุ่มผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

ข้อมูลภัยคุกคามที่รวบรวมและเผยแพร่โดย Onapsis ร่วมกับ SAP ได้ระบุว่าตั้งแต่กลางปี ​​2020 ผู้เชี่ยวชาญด้านความปลอดภัยจาก Onapsis ได้พบเห็นกลุ่มผู้ประสงค์ร้ายพยายามโจมตีช่องโหว่ในแอปพลิเคชัน SAP ที่ไม่ได้รับการแพตช์ความปลอดภัยกว่า 1,500 ครั้ง จาก 20 ประเทศทั่วโลก โดยมีจำนวนที่ทำการโจมตีประสบความสำเร็จอยู่ที่ 300 ครั้ง

ตามรายงานระบุอีกว่าการโจมตีเหล่านี้ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหลายรายการในแอปพลิเคชัน SAP ประกอบด้วยช่องโหว่ดังนี้

ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2020-6207 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2018-2380 เป็นช่องโหว่การยกระดับสิทธิ์และ Execute คำสั่งบนระบบปฏิบัติการเพื่อเข้าถึงฐานข้อมูลและระบบเครือข่ายภายใน (Lateral movement)
ช่องโหว่ CVE-2016-95 เป็นช่องโหว่ Denial-of-Service (DoS) และเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2016-3976 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถยกระดับสิทธิ์และเข้าอ่านไฟล์ผ่านทาง Directory Traversal ซึ่งนำไปสู่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2010-5326 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถ Execute คำสั่งบนระบบปฏิบัติและเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับฐานข้อมูล ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุม SAP Business Information และโปรเซสได้อย่างสมบูรณ์

ทั้งนี้ลูกค้าและผู้ดูแลระบบ SAP ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

VMware ออกแพตช์แก้ไขช่องโหว่ที่สำคัญ 2 รายการในแพลตฟอร์ม IT operations management อย่าง vRealize Operations ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถขโมยข้อมูล Administrative credentials ได้ โดยทั้ง 2 ช่องโหว่ถูกค้นพบโดย Egor Dimitrenko จาก Positive Technologies

ช่องโหว่เเรกเป็น CVE-2021-21975 มีคะแนนความรุนเเรงอยู่ที่ CVSS 8.6/10 โดยช่องโหว่ถูกพบใน vRealize Operations Manager API ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถใช้เทคนิค Server-side request forgery (SSRF) เพื่อเข้าถึงการทำงานของเซิร์ฟเวอร์หรือเข้าถึงการจัดการข้อมูลที่ผู้โจมตีจะไม่สามารถเข้าถึงได้โดยตรงจากระยะไกล

ช่องโหว่ที่สองเป็น CVE-2021-21983 มีคะแนนความรุนเเรงอยู่ที่ CVSSv3 7.2/10 เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่การเขียนไฟล์โดยไม่ได้รับอนุญาตใน VROps Manager API ที่สามารถใช้เพื่อเขียนไฟล์ไปยังระบบปฏิบัติการได้

ทั้งนี้ช่องโหว่ทั้ง 2 รายการ ผู้โจมตีจะต้องมี administrative credentials ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตาม VMware ได้ออกเเพตช์สำหรับแก้ไขช่องโหว่ทั้ง 2 แล้วใน vROps Manager เวอร์ชัน 7.5.0 ถึง 8.3.0 ผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันดังกล่าวเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: databreachtoday

การโจมตีเริ่มต้นด้วยการกำหนดเป้าหมายก่อนจะส่งข้อความไปเสนองาน (spear-phishing) โดยจะส่งไฟล์ zip ที่ถูกตั้งชื่อให้ตรงกับตำแหน่งงานของเป้าหมายที่แสดงใน LinkedIn เมื่อเปิดไฟล์จะถูกติดตั้ง backdoor ที่มีชื่อว่า "more_egg" ซึ่งเป็น fileless ลงบนเครื่องโดยไม่รู้ตัว จากนั้นจะทำการยึดโปรเซสที่ถูกต้องของ Windows เพื่อหลบหลีกการตรวจจับ แต่ในระหว่างนั้นจะมีการเบี่ยงเบียนความสนใจด้วยการวางเหยื่อล่อ ด้วยการให้เหยื่อสนใจใบสมัครปลอมที่สร้างขึ้นมา มัลแวร์ตัวนี้สามารถถูกใช้เป็นช่องทางในการส่งมัลแวร์อื่น ๆ เข้ามาที่เครื่องเหยื่อก็ได้ ยกตัวอย่างเช่น banking trojan, ransomware, มัลแวร์ขโมยข้อมูล หรือถูกใช้เพื่อวาง backdoor ตัวอื่น ๆ เพื่อขโมยข้อมูลออกไปก็ได้

รายงานระบุว่า more_egg เป็นมัลแวร์ที่เคยถูกพบมาตั้งแต่ปี 2018 ผู้ไม่หวังดีที่ต้องการใช้งานจะสามารถหาซื้อได้จากบริการ malware-as-a-service (MaaS) ที่มีชื่อว่า "Golden Chicken" ได้ เคยถูกใช้โดย Threat Actor หลายกลุ่ม เช่น Cobalt, Fin6 และ EvilNum แต่สำหรับเหตุการณ์นี้ยังไม่สามารถระบุชัดเจนได้ว่า Threat Actor กลุ่มไหนเป็นผู้อยู่เบื้องหลัง

ที่มา: thehackernews

ข้อมูลดังกล่าวประกอบด้วยชื่อ- นามสกุล, Facebook ID, เบอร์โทรศัพท์, อีเมล, เพศ, อาชีพ และประเทศ เป็นต้น และเป็นข้อมูลของผู้ใช้งาน Facebook มากกว่า 533 ล้านราย จาก 106 ประเทศ แต่ไม่พบว่ามีข้อมูลของผู้ใช้งานในประเทศไทย เชื่อว่าข้อมูลดังกล่าวรั่วไหลมาตั้งแต่ปี 2019 ผ่านทางช่องโหว่เก่าของ Facebook ที่ได้รับการแก้ไขไปแล้ว ข้อมูลดังกล่าวจึงเป็นข้อมูลตั้งแต่เมื่อปี 2019 ทั้งนี้จากข้อมูลล่าสุดมีการระบุว่า Mark Zuckerberg ผู้ก่อตั้ง Facebook เองก็เป็นหนึ่งในผู้เสียหายที่มีข้อมูลหลุดออกมาเช่นเดียวกัน

ที่มา: thehackernews

ช่องโหว่ดังกล่าว (CVE-2021-21982) มีความรุนแรงระดับ critical ได้รับคะแนน CVSS 9.1 จาก 10 ส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบได้โดยไม่ต้องพิสูจน์ตัวตน (authentication bypass) Carbon Black Cloud Workload เป็นผลิตภัณฑ์ Data Center ที่มีความสามารถด้าน security มาด้วย หากผู้โจมตีสามารถเข้าถึงหน้า URL สำหรับเข้าสู่ระบบของผู้ดูแลได้ ก็จะสามารถโจมตีเพื่อรับ authentication token และสามารถใช้งาน API ของผลิตภัณฑ์ได้

VMware Carbon Black Cloud Workload appliance เวอร์ชั่น 1.0.1 และก่อนหน้านั้น คือเวอร์ชั่นที่ได้รับผลกระทบ ควรอัพเดตเป็นเวอร์ชั่น 1.0.2

ที่มา: securityaffairs, vmware

พบว่าแฮ็กกอร์ที่อยู่เบื้องหลังการโจมตี SolarWinds เข้าถึงอีเมลของระดับหัวหน้าในกระทรวง DHS (Department of Homeland Security)

รายงานระบุว่ากลุ่มแฮ็กเกอร์ดังกล่าวสามารถเข้าถึงบัญชีอีเมลของเจ้าหน้าที่ในกระทรวงหลายคน รวมถึง Chad Wolf ที่มีตำแหน่งเป็นอดีตผู้รักษาการรัฐมนตรีว่าการกระทรวง ส่งผลให้ Wolf และเจ้าหน้าที่ของกระทรวงอีกหลายคนต้องเปลี่ยนโทรศัพท์มือถือใหม่ และเปลี่ยนข้อมูลการสื่อสารใหม่ทั้งหมดหลังจากพบเหตุการณ์ การรั่วไหลข้อมูลในครั้งนี้ถูกพบในช่วงเดือนธันวาคมที่ผ่านมา ซึ่งเป็นช่วงเวลาเดียวกับที่พบว่ามีกลุ่มแฮ็กเกอร์ชาวรัสเซียโจมตี SolarWinds Orion การโจมตีในครั้งนั้นส่งผลกระทบกับหลายกระทรวงในสหรัฐอเมริกา รวมถึงบริษัทยักษ์ใหญ่อีกหลายแห่ง อย่างไรก็ตามรัสเซียได้ออกมาปฏิเสธถึงการอยู่เบื้องหลังเหตุการณ์ดังกล่าวแล้ว

ที่มา: darkreading

Official Git ของ PHP ถูกแฮ็ก และมีการเพิ่ม code อันตรายเข้าไป

เมื่อปลายเดือนมีนาคมที่ผ่านมา พบว่ามีการ commit code อันตรายขึ้นไปยัง php-src git ด้วยชื่อของ PHP Developer 2 คน โดย Git นี้มีเจ้าของเป็นทีมของ PHP จากการตรวจสอบพบว่าเป็น code สำหรับติดตั้ง backdoor เพื่อรันคำสั่งอันตรายบนเว็บไซต์ที่มีการใช้งาน PHP เวอร์ชั่นที่ถูกดัดแปลงดังกล่าว รายงานระบุว่าจากการตรวจสอบเชื่อได้ว่าสาเหตุน่าจะมาจากการโดนยึด server (git.

พบช่องโหว่ใน netmask npm package ส่งผลให้การใช้งาน private network ไม่ปลอดภัย และสามารถถูกนำไปใช้โจมตีกับวิธีอื่นๆ ได้หลากหลาย

netmask package ดังกล่าวถูกใช้อย่างแพร่หลาย ช่องโหว่นี้ได้รับเป็น CVE-2021-28919 เป็นปัญหาที่เกิดจากการอ่านข้อมูลที่ถูก encode ไม่ถูกต้อง ส่งผลให้แปลความหมายของ IP Address ผิดพลาด ทำให้ netmask เข้าใจว่า Private IP Address เป็น External IP Address และอาจเปิดช่องทางให้สามารถเข้าถึงจากภายนอกได้ ขึ้นอยู่กับว่ามีการใช้งาน Package ดังกล่าวในลักษณะอย่างไร การโจมตีที่อาจถูกใช้ผ่านช่องโหว่นี้ประกอบด้วย Server-side request forgery, remote file inclusion และ local file inclusion เป็นต้น

นักวิจัยที่ใช้ชื่อว่า Sick Codes เป็นผู้ค้นพบช่องโหว่ดังกล่าว และพบว่าปัญหาอยู่ในส่วนของการแปลความหมายในส่วน octet แรกของ IP Address ที่ขึ้นต้นด้วยเลข 0 เป็น decimal เช่น การแปลผลข้อมูลที่ถูกส่งมาเป็น 012.0.0.1 (10.0.0.1) เป็น 12.0.0.1 (Public) ส่งผลให้ผู้ไม่หวังดีสามารถอาศัย IP Address ดังกล่าวเป็นช่องทางในการเข้าถึงภายในได้ ด้วยการส่ง Package มาหลอกลวงแอพพลิเคชั่นที่ใช้งาน netmask package ที่มีช่องโหว่ดังกล่าว

ที่มา: securityweek