เมื่อเดือนที่แล้ว Cloudflare บริษัทผู้ให้บริการระบบเครือข่าย network และรักษาความปลอดภัยเว็บไซต์ ได้แก้ไขช่องโหว่ที่สำคัญในไลบรารี CDNJS ซึ่งมีการใช้งานอยู่ที่ 12.7% ของเว็บไซต์ทั้งหมดบนอินเทอร์เน็ต

CDNJS เป็นเครือข่ายการส่งเนื้อหา (Content Delivery Network) แบบโอเพ่นซอร์สที่ให้บริการฟรี ซึ่งให้บริการไลบรารี JavaScript และ CSS ประมาณ 4,041 รายการ ทำให้เป็น CDN ไลบรารี JavaScript ที่ได้รับความนิยมสูงสุดเป็นอันดับสองรองจาก Google Hosted Libraries

ข้อผิดพลาดเกี่ยวข้องกับปัญหาในเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS ที่อาจอนุญาตให้ผู้โจมตีดำเนินการรันคำสั่งที่เป็นอันตรายได้ และนำไปสู่การเข้าถึงระบบโดยสมบูรณ์

ช่องโหว่ดังกล่าวถูกค้นพบและรายงานโดยนักวิจัยด้านความปลอดภัย RyotaK เมื่อวันที่ 6 เมษายน พ.ศ. 2564 ซึ่งยังไม่พบหลักฐานว่ามีการใช้ช่องโหว่นี้ในการโจมตีจริง

ช่องโหว่นี้ทำงานโดยการส่งแพ็คเกจไปยัง CDNJS ของ Cloudflare โดยใช้ GitHub และ npm ใช้เพื่อทริกเกอร์ช่องโหว่ path traversal และท้ายที่สุดคือทำให้เซิร์ฟเวอร์สามารถเรียกใช้โค้ดจากระยะไกลได้ น่าสังเกตว่าโครงสร้างพื้นฐานของ CDNJS มีการอัปเดตไลบรารีเป็นอัตโนมัติโดยเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป็นระยะ เพื่อดาวน์โหลดไฟล์ที่เกี่ยวข้องจากที่เก็บ Git ซึ่งมีการจัดการโดยผู้ใช้หรือรีจิสตรีแพ็กเกจ npm

RyotaK พบว่า "สามารถเรียกใช้โค้ดได้ หลังจากดำเนินการ path traversal จากไฟล์ .tgz ไปยัง npm และเขียนทับสคริปต์ที่ทำงานเป็นประจำบนเซิร์ฟเวอร์" และ “ช่องโหว่นี้สามารถโจมตีได้โดยไม่ต้องใช้ทักษะพิเศษใดๆ แต่ก็สามารถส่งผลกระทบต่อเว็บไซต์จำนวนมากได้ ทำให้เป็นไปได้ว่าจะเกิดการโจมตีช่องโหว่นี้ในลักษณะ Supply-chain ได้"

เป้าหมายของการโจมตีคือการส่งแพ็คเกจที่สร้างขึ้นเป็นพิเศษไปยังที่เก็บ จากนั้นจะเลือกเซิร์ฟเวอร์อัปเดตไลบรารี CDNJS เพื่อเผยแพร่แพ็คเกจ กระบวนการคือการคัดลอกเนื้อหาของแพ็คเกจที่เป็นอันตรายไปยังโฮสต์ไฟล์สคริปต์ปกติที่เรียกใช้งานเป็นประจำบนเซิร์ฟเวอร์ ส่งผลให้มีการเรียกใช้โค้ดอันตรายได้

นี่ไม่ใช่ครั้งแรกที่นักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ในลักษณะดังกล่าว โดยในเดือนเมษายน 2564 RyotaK ได้เปิดเผยช่องโหว่ที่สำคัญในที่เก็บ Homebrew Cask ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายได้บนเครื่องของผู้ใช้งาน

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Software Secured บริษัทสัญชาติแคนาดาระบุช่องโหว่ร้ายแรงใน Less.

นักวิจัยของ Bitdefender ให้ข้อมูลว่า กลุ่ม Crytojacking โจมตีด้วยวิธีการ SSH brute-forcer ที่เรียกว่า Diicot brute เพื่อเข้าถึงเครื่อง Linux และติดตั้ง miner XMRig ซึ่งเป็น open-source ที่ถูกดัดแปลงเพื่อใช้ในการทำ Crytojacking โดยกลุ่มแฮกเกอร์จำนวนมาก

นักวิจัยกล่าวว่า กลุ่ม Crytojacking นี้มีความเกี่ยวข้องกับ botnet ที่พัฒนาบน Linux-based ซึ่งมักใช้ในการทำ DDoS อย่างน้อย 2 ตัวด้วยกันคือ “Chernobyl” และ Perl IRC bot โดยแรงจูงใจหลักของ campaign นี้คือการติดตั้งมัลแวร์สำหรับขุด Monero Coin (XMR) และยังมีเครื่องมือที่สามารถขโมยข้อมูลจากผู้ใข้งานได้

Cryptojacking ได้รายได้จากการขุดไม่มากนัก เลยเป็นเหตุผลให้ผู้โจมตีนิยมใช้ botnet เพื่อพยายามแพร่กระจายไปยังอุปกรณ์ต่างๆให้มากที่สุด เพราะการต้องติดตั้งระบบเพื่อใช้ในการขุด Cryptocurrency ไม่คุ้มค่ามากพอในปัจจุบัน ดังนั้นผู้โจมตีจึงต้องใช้วิธีเข้าควบคุมเครื่องต่างๆที่พวกเค้าควบคุมไว้จากระยะไกลแทน

ผู้โจมตีกำหนดเป้าหมายไปที่เครื่องที่มีการตั้งค่าเริ่มต้น หรือรหัสผ่านที่ไม่ปลอดภัย เป็นเหตุผลว่าทำไมผู้ใช้งานถึงโดน SSH Brute-forcing ได้อย่างง่ายดาย

ผู้เชี่ยวชาญจาก Bitdefender กล่าวเพิ่มเติมว่า การที่แฮกเกอร์ Brute force SSH ที่มีรหัสผ่านที่สามารถคาดเดาได้ง่ายไม่ใช่เรื่องแปลก แต่ที่วิธีการที่ทำให้ไม่สามารถตรวจจับการโจมตีได้เป็นเรื่องที่ยากกว่า ซึ่ง Diicot Brute force มีความสามารถในการหลบเลี่ยงระบบที่คาดว่าถูกทำไว้เป็น Honeypots ได้อีกด้วย

นักวิจัยจาก Bitdefenderได้ติดตามกลุ่ม Cryptojacking ซึ่งพบการดาวน์โหลดมัลแวร์จาก “.93joshua” แต่น่าแปลกที่สามารถตรวจพบ “[http://45[.]32[.]112[.]68/.sherifu/.93joshua]” ในไดเร็กทอรีที่สามารถเปิดได้อย่างง่ายผิดปกติ แม้ว่าจะมีการซ่อนไฟล์จำนวนมากรวมไว้ในสคริปต์อื่นๆ และนักวิจัยยังพบว่ามีโดเมนที่เกี่ยวข้องอื่นๆเช่น mexalz.

เมื่อเกือบ 3 สัปดาห์ที่ผ่านมา บริษัท KASEYA ได้ถูกโจมตีโดย REvil Ransomware ซึ่งทำให้เกิดผลกระทบกับบริษัทต่าง ๆ ที่เกี่ยวข้องเป็นจำนวนมาก

โดยเมื่อวันที่ 21 กรกฎาคมที่ผ่านมา ทางบริษัท KASEYA ได้กล่าวว่าพวกเขาได้รับตัวถอดรหัสจากการโจมตีของ REvil Ransomware จากบุคคลที่ 3 ที่ยังไม่สามารถระบุตัวตนของบุคคลดังกล่าวได้ และจะทำการกู้คืนข้อมูลของลูกค้าที่ได้รับผลกระทบจากการโจมตีในครั้งนี้ให้กลับมาเป็นปกติ (more…)

เมื่อวันที 20 กรกฎาคมที่ผ่านมา ได้พบช่องโหว่ใหม่ของ Microsoft ที่มีชื่อเรียกว่า “SeriousSAM หรือ HiveNightmare”

CVE-2021-36934 Windows Elevation of Privilege Vulnerability มีระดับความรุนแรง CVSS Score: 7.8 เป็นช่องโหว่ในการยกระดับสิทธิ์ ที่เกิดจากรายการควบคุมการเข้าถึง ACL (Access Control Lists) ที่อนุญาตให้มีสิทธิ์เข้าถึงไฟล์ในระบบมากเกินไป และยังสามารถเข้าถึงฐานข้อมูล Security Accounts Manager (SAM) ซึ่งเป็นไฟล์สำหรับเก็บข้อมูล user และ password ของผู้ใช้อีกด้วย

หากผู้โจมตีสามารถเข้าถึงจะสามารถใช้ประโยชน์จากช่องโหว่นี้ในการยกระดับสิทธิเป็น SYSTEM ได้และจะสามารถติดตั้งโปรแกรม ดูการตั้งค่าต่าง ๆ ลบหรือแก้ไขข้อมูล รวมถึงการสร้างบัญชีใหม่ที่มีสิทธิ์ผู้ใช้แบบเต็มรูปแบบ

นักวิจัยด้านความปลอดภัย Jonas Lykkegard ได้กล่าวว่า เขาค้นพบไฟล์ Registry Windows 10 และ 11 นั้น มีความเชื่อมโยงกับ Security Account Manager (SAM) และฐานข้อมูล Registry อื่น ๆ ทำให้สามารถเข้าถึงได้โดย Users ทั่วไป นอกจากนี้ผู้โจมตียังสามารถดึง NTLM (NT LAN Manager) Hash Password ของทุกบัญชีในอุปกรณ์และใช้ hash เหล่านี้ในการโจมตีแบบ pass-the-hash เพื่อยกระดับสิทธิ์ได้อีกด้วย และนักวิจัยยังได้กล่าวอีกว่า "เนื่องจากไฟล์ Registry เช่น SAM ถูกใช้โดยระบบ เมื่อลองพยายามเข้าถึงไฟล์ดังกล่าว จะได้รับการแจ้งเตือนว่ากำลังละเมิดการเข้าถึงไฟล์ เนื่องจากไฟล์ถูกเปิดและใช้งานจากโปรแกรมอื่น"

อย่างไรก็ตาม ผู้โจมตีจะสามารถเข้าถึงไฟล์ Registry รวมถึง SAM โดยผ่าน Windows shadow volume copies จะไม่มีการแจ้งเตือนการละเมิดในการเข้าถึงใด ๆ

วิธีการแก้ปัญหาเบื้องต้น
จำกัดการเข้าถึงของ %windir%\system32\config:

1. Open Command Prompt or Windows PowerShell as an administrator.

Juniper ออกแพ็ตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ stack-based buffer-overflow (CVE-2021-0276) ใน Steel-Belted Radius (SBR) Carrier ที่ใช้โปรโตคอล EAP (Extensible Authentication Protocol) ส่งผลให้ผู้ให้บริการเครือข่ายไร้สาย และผู้ให้บริการแก้ไขปัญหาเครือข่าย (Fixed operator networks) มีความเสี่ยงต่อการถูกทำการเปลี่ยนแปลงข้อมูล

Steel-Belted Radius (SBR) Carrier ถูกใช้โดยผู้ให้บริการโทรคมนาคมเพื่อจัดการ Policy สำหรับผู้ใช้งานในการเข้าถึงเครือข่ายโดยวิธีการ centralizing user authentication, จัดการการเข้าถึงที่เหมาะสม, จัดการตรวจสอบให้สอดคล้องกับมาตรฐานความปลอดภัย ซึ่งจะช่วยให้ผู้ให้บริการสามารถจัดการระดับการบริการ กระจายรูปแบบรายได้ และจัดการทรัพยากรเครือข่ายได้เหมาะสม

ช่องโหว่ stack-based buffer-overflow (CVE-2021-0276) ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากการส่งแพ็กเก็ตที่ออกแบบมาเป็นพิเศษไปยังแพลตฟอร์มจนทำให้ RADIUS daemon ขัดข้อง และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) รวมถึงการปฏิเสธการให้บริการ (Denial-of-service (DoS)) เพื่อป้องกันไม่ให้ผู้ใช้งานทำการการเชื่อมต่อเครือข่าย โดยช่องโหว่นี้มีระดับความรุนแรงสูง CVSS อยู่ที่ 9.8/10

อุปกรณ์ที่ได้รับผลกระทบกับ

SBR Carrier เวอร์ชัน 4.1 ก่อน 8.4.1R19;
SBR Carrier เวอร์ชัน 5.0 ก่อน 8.5.0R10;
SBR Carrier เวอร์ชัน 6.0 ก่อน 8.6.0R4.

นอกจากนี้ทาง Juniper ได้ทำการออกแพ็ตซ์ด้านความปลอดภัยสำหรับแก้ไขช่องโหว่ที่มีความรุนแรงสูง ซึ่งอาจส่งผลให้ผู้โจมตีสามารถโจมตี Denial-of-Service (DoS) สำหรับผลิตภัณฑ์ของ Juniper หลายรายการ รวมทั้งแพ็ตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Remote Code Execution (RCE) (CVE-2021-0277) ซึ่งเป็นช่องโหว่ out-of-bounds read ส่งผลกระทบต่อ Junos OS (เวอร์ชัน 12.3, 15.1, 17.3, 17.4, 18.1, 18.2, 18.3, 18.4, 19.1, 19.2, 19.3, 19.4, 20.1, 20.2, 20.3 และ 20.4) เช่นเดียวกับ Junos OS Evolved (ทุกเวอร์ชัน) ปัญหาดังกล่าวเกิดขึ้นเมื่อ Layer 2 Control Protocol Daemon (l2cpd) ประมวลผล LLDP frame ที่ถูกออกแบบมาโดยเฉพาะ

ที่มา: ehackingnews.

นักวิเคราะห์ภัยคุกคามของ Facebook และผู้เชี่ยวชาญในการค้นหา และป้องกันภัยคุกคามทางไซเบอร์ ได้ออกมาแจ้งเตือนเกี่ยวกับกลุ่มแฮ็กเกอร์ในอิหร่าน โดยมีเป้าหมายหลักอยู่ที่สหรัฐอเมริกา กลุ่มนี้เป็นที่รู้จักกันในชื่อ Tortoiseshell ซึ่งก่อนหน้านี้มีรายงานว่ากลุ่มนี้มุ่งเน้นไปที่อุตสาหกรรมเทคโนโลยีสารสนเทศในตะวันออกกลางเป็นหลัก แต่จากการตรวจสอบพบว่าแฮ็กเกอร์กำลังมุ่งเป้าไปที่บุคลากรทางทหาร บริษัทในอุตสาหกรรมการป้องกันประเทศ และการบินอวกาศในสหรัฐอเมริกา ในระดับที่น้อยกว่าในสหราชอาณาจักรและยุโรป กลุ่มนี้ใช้วิธีการที่เป็นอันตรายหลายอย่างเพื่อระบุเป้าหมาย และติดตั้งมัลแวร์ในอุปกรณ์ของเป้าหมายในการจารกรรมข้อมูล

แฮ็กเกอร์ใช้บัญชีออนไลน์ปลอมเพื่อติดต่อเป้าหมาย สร้างความไว้วางใจ และหลอกล่อให้คลิกลิงก์ที่เป็นอันตราย บุคคลเหล่านี้มีโปรไฟล์ปลอมในแพลตฟอร์มโซเชียลมีเดียหลายแห่งเพื่อให้ดูน่าเชื่อถือยิ่งขึ้น จากการตรวจสอบพบว่ากลุ่มนี้ใช้เวลาอย่างมากในการติดต่อกับเหยื่อผ่านอินเทอร์เน็ต ในบางกรณีใช้เวลาหลายเดือน โดยมีการสร้างโดเมนที่ออกแบบมาโดยเฉพาะเพื่อดึงดูดเป้าหมายเฉพาะในอุตสาหกรรมการบิน และอวกาศ และการป้องกันประเทศ พวกเขามีเว็บไซต์จัดหางานปลอมสำหรับบริษัทป้องกันประเทศบางแห่ง และปลอมแปลงไซต์ค้นหางานของกระทรวงแรงงานสหรัฐที่ถูกต้องตามกฎหมาย รวมถึงปลอมแปลงโดเมนของผู้ให้บริการอีเมลรายใหญ่และเลียนแบบบริการย่อ URL ที่อาจปกปิดปลายทางสุดท้ายของลิงก์เหล่านี้ โดเมนเหล่านี้ดูเหมือนจะถูกใช้เพื่อขโมยข้อมูลการเข้าสู่ระบบของบัญชีออนไลน์ของเหยื่อ (เช่น อีเมลของบริษัทและส่วนตัว ซอฟต์แวร์ที่สามารถใช้ทำงานร่วมกัน โซเชียลมีเดีย) รวมไปถึงใช้เพื่อรวบรวมข้อมูลเกี่ยวกับอุปกรณ์ที่ใช้งาน ระบบเครือข่ายที่ใช้ รวมไปถึงซอฟแวร์ที่มีการใช้งานของเหยื่ออีกด้วย

กลุ่มนี้ใช้มัลแวร์ที่สร้างเองซึ่งมีลักษณะเฉพาะสำหรับการใช้งาน ซึ่งรวมถึงโทรจันที่สามารถทำให้เข้าถึงระบบจากระยะไกลได้ เครื่องมือตรวจสอบอุปกรณ์ และเครือข่าย และเครื่องมือบันทึกการกดแป้นพิมพ์ ในบรรดาเครื่องมือเหล่านี้ พวกเขายังคงพัฒนา และปรับปรุงมัลแวร์สำหรับ Windows ที่รู้จักกันในชื่อ Syskit ซึ่งใช้มานานหลายปี พวกเขายังสร้างลิงก์ที่เป็นอันตรายบนสเปรดชีต Microsoft Excel ซึ่งทำให้มัลแวร์สามารถส่งคำสั่งต่างๆ ไปที่เครื่องของเหยื่อในลักษณะที่คล้ายกับเครื่องมือสแกนระบบ Liderc ที่ถูกพบโดยนักวิจัยที่ Cisco เครื่องมืออันตรายที่ถูกฝังอยู่ในเอกสาร Microsoft Excel สามารถส่งข้อมูลของระบบเป้าหมายไปยังสเปรดชีตที่สร้างขึ้น และหาวิธีการหลอกให้ผู้ใช้งานเซฟมัน และส่งคืนให้กับผู้โจมตี

นักวิเคราะห์พบว่ากลุ่มผู้โจมตีใช้มัลแวร์ชนิดที่แตกต่างกัน การตรวจสอบ และการวิเคราะห์มัลแวร์พบว่ามัลแวร์บางส่วนได้รับการพัฒนาโดย Mahak Rayan Afraz (MRA) ซึ่งเป็นบริษัทไอทีในกรุงเตหะรานที่มีความเชื่อมโยงกับ Islamic Revolutionary Guard Corps (IRGC) ผู้บริหาร MRA ในปัจจุบัน และในอดีตบางคนมีความเชื่อมโยงกับบริษัทต่างๆ ที่ถูกคว่ำบาตรโดยรัฐบาลสหรัฐฯ

คำแนะนำ

ระมัดระวังการใช้งานอีเมล และการติดต่อจากคนที่ไม่รู้จัก
เพิ่ม IOC ในอุปกรณ์ Security

ที่มา: about.

ช่องโหว่ CVE-2021-34527 เป็นช่องโหว่ที่สามารถโจมตีแบบ Remote Code Execution RpcAddPrinterDriverEx() ซึ่งเกี่ยวกับการตั้งค่าไดรเวอร์ของ Printer หากผู้ไม่ประสงค์ดี สามารถเข้าถึงระบบได้จากช่องโหว่แล้ว จะสามารถเรียกใช้งาน System privileges ซึ่งสิทธิ์ System privileges นี้สามารถติดตั้งโปรแกรม ดู เปลี่ยนแปลง ลบข้อมูล หรือสร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้เต็มรูปแบบได้ ซึ่งในช่วงเวลานั้นยังไม่มี Patch เป็นทางการปล่อยออกมา ส่งผลกระทบกับ Windows ตั้งแต่ Windows 7 SP1 ไปจนถึง Server 2019, ARM64 versions of Windows และ Windows RT 8.1 แต่เมื่อวันที่ 6 กรกฏาคมที่ผ่านมาทาง Microsoft ได้ออกแพตซ์ด่วน Out-of-band (OOB) ออกมาให้อัพเดท ซึ่งจากข้อมูลปัจจุบันพบว่าแพตช์ที่ทาง Microsoft ได้ออกมานั้นสามารถแก้ไขได้เพียง Remote Code Execution (RCE) เท่านั้นส่วนช่องโหว่การยกระดับสิทธิ์ยังคงมีอยู่

เมื่อไม่นานมานี้นักวิจัยด้านความปลอดภัย Benjamin Delpy ได้ค้นพบวิธีการละเมิดการติดตั้งแบบปกติของไดร์เวอร์ Printer ของ Windows เพื่อรับสิทธิ์ System privileges ผ่านไดรเวอร์ Printer โดยเทคนิคนี้สามารถใช้ได้แม้จะทำตามคำแนะนำการแก้ไขปัญหาจากทาง Microsoft เรื่องการจำกัดการติดตั้งไดรเวอร์ Printer สำหรับผู้ดูแลระบบ และการปิดใช้งาน Point and Print นอกจากนั้นผู้ไม่ประสงค์ดียังสามารถสร้าง Signing a driver ที่เป็นอันตราย และใช้สิทธิ์ System privileges บนระบบอื่นๆ ได้อีกด้วย

โดยวิธีการนั้นแตกต่างกันไปตามเทคนิคของแต่ละกลุ่ม เช่น วิธีการสร้าง Signing a Driver ที่เป็นอันตราย และยืนยันโดยใช้ใบรับรอง Authenticode หรือ "Rolls Royce" ในการ Signing a Driver ซึ่งก็คือการซื้อ หรือขโมยใบรับรอง EV แล้วส่งไปเพื่อทำการตรวจสอบกับ Microsoft WHQL เมื่อผู้ไม่ประสงค์ดีมี Signing a Driver ที่ยืนยันแล้ว สามารถติดตั้งไดรเวอร์บนอุปกรณ์เครือข่ายอื่นๆ ที่มีสิทธิ์เป็นผู้ดูแลระบบได้ หรือใช้การ "pivot" อุปกรณ์ เพื่อรับสิทธิ์เข้าใช้งานระบบบนอุปกรณ์อื่นที่ไม่มีสิทธิ์ได้ โดยการติดตั้งไดร์เวอร์ที่เป็นอันตราย ซึ่งเทคนิคนี้สามารถใช้เพื่อช่วยให้ผู้ไม่ประสงค์ดีแพร่กระจายภายในระบบเครือข่ายได้

ข้อเสนอแนะ

เพื่อป้องกันการโจมตีนี้สามารถปิดใช้งานตัวจัดคิวงานพิมพ์ (Print Spooler) หรือเปิดใช้งานนโยบาย Point and Print เพื่อจำกัดเซิร์ฟเวอร์ที่อุปกรณ์สามารถดาวน์โหลดไดรเวอร์ Printer ได้

อย่างไรก็ตามการเปิดใช้งาน Point and Print จะทำให้ช่องโหว่ของ PrintNightmare สามารถข้ามแพตช์ปัจจุบันจาก Microsoft ได้ เนื่องจาก Windows ได้รับการออกแบบมาเพื่อให้ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์เครื่องพิมพ์ได้ แม้แต่โปรแกรมที่อาจเป็นอันตรายโดยไม่ทราบสาเหตุ นอกจากนี้ Windows ยังได้รับการออกแบบมาเพื่อให้ผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบสามารถติดตั้งไดรเวอร์ที่ยืนยันแล้วบนอุปกรณ์ของตนได้เพื่อความสะดวกในการใช้งาน

ที่มา: bleepingcomputer

Microsoft มีการค้นพบช่องโหว่ Zero-Day ที่มีระดับความรุนแรงสูงของ SolarWinds ที่ยังสามารถใช้งานได้อยู่ในปัจจุบันโดยเกิดจากข้อผิดพลาดที่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายบน Product สำหรับการจัดการการถ่ายโอนไฟล์ (Managed File Transfer) ที่ชื่อว่า Serv-U ได้ โดย Microsoft ได้รายงานช่องโหว่ดังกล่าวไปยังบริษัท SolarWinds โดยตรงแล้ว โดยเมื่อวันศุกร์ที่ผ่านมา (9 July 2021) SolarWinds ได้ออกมากล่าวถึงช่องโหว่ Zero-Day ใหม่นี้ไม่มีความเกี่ยวข้องกับเหตุการณ์โจมตี Supply Chain Attack ที่เกิดขึ้นในเดือนธันวาคมที่ผ่านมา และจากหลักฐานที่ทาง Microsoft ให้มา SolarWinds ยังไม่ได้มีการประเมินว่ามีลูกค้าจำนวนกี่รายที่อาจได้รับผลกระทบจากช่องโหว่ตัวใหม่นี้

SolarWinds Serv-U Managed File Transfer, Serv-U Secure FTP และ Serv-U Gateway ที่เป็นส่วนขยายของผลิตภัณฑ์ทั้งสองได้รับผลกระทบจากช่องโหว่ใหม่นี้ทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดอันตรายจากระยะไกลบนระบบที่มีช่องโหว่ได้ ทำให้ผู้โจมตีสามารถยกระดับสิทธิและเข้าถึงเครื่องที่ติดตั้งผลิตภัณฑ์ Serv-U ได้ โดยผู้โจมตีสามารถติดตั้งโปรแกรม, ดู แก้ไข และลบข้อมูล หรือเรียกใช้โปรแกรมบนระบบได้ โดยช่องโหว่นี้มีอยู่ในผลิตภัณฑ์ Serv-U เวอร์ชันล่าสุด 15.2.3 HF1 ที่มีการเผยแพร่เมื่อวันที่ 5 พฤษภาคม ที่ผ่านมา และในเวอร์ชันก่อนหน้าทั้งหมด
โดยทาง SolarWinds ได้ปล่อย Hotfix สำหรับแก้ไขช่องโหว่ออกมาแล้วในขณะที่กำลังดำเนินการแก้ไขปัญหาอย่างถาวรต่อไป โดยผู้ใช้งานผลิตภัณฑ์ Serv-U เวอร์ชัน 15.2.3 HF1 ให้ทำติดตั้ง hotfix (HF2) โดยด่วนเพื่อปิดช่องโหว่และสำหรับผู้ใช้งาน Serv-U ที่เวอร์ชันเก่ากว่าควรทำการอัพเดทเป็นเวอร์ชั่นปัจจุบันและทำติดตั้ง hotfix (HF2) และการปิด SSH สามารถช่วยป้องกันการถูกโจมตีได้

SolarWinds คือ บริษัทที่เป็นศูนย์กลางของการโจมตี Supply Chain Attack ที่ได้มีการโจมตีหน่วยงานของสหรัฐฯ 9 แห่งและบริษัทเอกชน 100 แห่ง โดยเกิดจากการผู้โจมตีได้เข้าถึง และมีการปล่อยอัปเดตซอฟแวร์ที่เป็นอันตรายที่เป็นผลิตภัณฑ์ SolarWinds ให้ลูกค้าประมาณ 18,000 รายของบริษัท SolarWinds ในบรรดาลูกค้าเหล่านั้นมีประมาณ 110 รายถูกโจมตีหลังจากนั้นด้วยการติดตั้ง Payload ซึ่งใช้ในการขโมยข้อมูลที่มีความสำคัญออกไป โดยมัลแวร์ที่ถูกใช้ในแคมเปญมีชื่อว่า Sunburst

ในช่วงปลายปี 2020 ช่องโหว่ Zero-Day ของผลิตภัณฑ์ Orion ของ Solarwinds ได้ถูกโจมตีโดยผู้โจมตีกลุ่มอื่นที่นักวิจัยพบความเชื่อมโยงกับรัฐบาลจีน โดยผู้โจมตีเหล่านี้จะมีการติดตั้งมัลแวร์ที่ชื่อว่า SuperNova และมีการกำหนดเป้าหมายไปที่ SolarWinds และมีหน่วยงานของรัฐบาลสหรัฐฯ อย่างน้อยหนึ่งหน่วยงานตกเป็นเป้าหมายของการดำเนินการครั้งนี้

รัฐบาลกลางของสหรัฐฯ ได้ระบุว่าการโจมตีรูปแบบ Supply Chain Attack ในปีที่ผ่านมาเกิดจากแฮกเกอร์ที่ทำงานให้กับ Russia’s Foreign Intelligence Service (SVR) ได้ใช้แคมเปญมัลแวร์ที่มุ่งเป้าไปที่รัฐบาล, หน่วยงานทางการเมือง และองค์กรอื่นๆ ในประเทศต่างๆ รวมถึงเยอรมนี อุซเบกิสถาน, เกาหลีใต้ และสหรัฐอเมริกา รวมถึงการโจมตีกระทรวงการต่างประเทศสหรัฐฯ และทำเนียบขาวในปี 2014

ผลกระทบ

Serv-U เวอร์ชัน 15.2.3 HF1 และ Serv-U ที่เวอร์ชันต่ำกว่านั้น

การแก้ไข

ทำการดาวน์โหลดและติดตั้ง Hotfix ที่ทาง SolarWinds ปล่อยออกมาเพื่อปิดช่องโหว่

ที่มา : arstechnica

Qurium Media องค์กรสัญชาติสวีเดนซึ่งเป็นหน่วยงานไม่แสวงผลกำไรเพื่อสิทธิ และเสรีภาพด้านดิจิทัล รายงานว่า เหตุการณ์ที่สำนักข่าวในประเทศฟิลิปปินส์และองค์กรเพื่อสิทธิมนุษยชนถูกโจมตีด้วย Distributed Denail-of-Service (DDoS) มีลักษณะเป็นการโจมตีแบบเจาะจงเป้าหมาย ซึ่งมีความเชื่อมโยงไปถึง Department of Science and Technology (DOST) ของประเทศฟิลิปปินส์รวมถึงกองทัพฟิลิปปินส์อีกด้วย

องค์กร Qurium Media ชี้แจงในรายงานว่า "มีการโจมตีแบบ DoS เกิดขึ้นในช่วงเวลาสั้นๆ แต่มีความถี่ค่อนข้างบ่อย ซึ่งการโจมตีนี้เกิดขึ้นกับสำนักข่าวชื่อ Bulatlat และ Altermidya รวมไปถึงองค์กรเพื่อสิทธิมนุษยชนชื่อ Karapatan ในช่วงระหว่างเดือนพฤษภาคมถึงเดือนมิถุนายน ค.ศ. 2021"

ในวันที่ 18 พฤษภาคม ที่ผ่านมา DOST ได้ใช้เครื่องมือเพื่อทำการสแกนหาช่องโหว่บนระบบของ Bulatlat โดย Qurium เชื่อว่าเครื่องมือดังกล่าวคือ “Sn1per” ของบริษัท Xerosecurity โดยตัว Tools มีความสามารถในการสแกนหาช่องโหว่ได้ ซึ่งส่วนใหญ่ถูกใช้ในการทดสอบเจาะระบบ (Penetration Testing) แต่เครื่องมือในลักษณะนี้ไม่ควรถูกนำมาใช้ทดสอบระบบของผู้อื่นโดยที่ไม่ได้รับอนุญาต ดังนั้นจึงเป็นไปได้ว่าเหตุการณ์นี้เป็นความตั้งใจนำมาใช้งานเพื่อพยายามหาช่องโหว่เพื่อโจมตีระบบ

การโจมตีครั้งล่าสุดที่องค์กร Qurium ตรวจจับได้ เกิดขึ้นเมื่อช่วงกลางดึกของวันที่ 22 มิถุนายน 2021 ซึ่งการโจมตีครั้งนี้กินระยะนานหลายชั่วโมง โดยผู้โจมตีทำการส่งข้อมูลแบบสุ่มที่มีปริมาณข้อมูลจำนวนมากไปยังเว็บไซต์ของ Bulatlat และ Altermidya เพื่อทำให้เว็บไซต์ดังกล่าวไม่สามารถให้บริการได้

ผู้เชี่ยวชาญของ Qurium เปิดเผยว่าจากข้อมูลหลักฐานที่พบเชื่อมโยงไปยังข้อมูลอีเมล ซึ่งตรวจสอบแล้วพบว่าเกี่ยวข้องกับ Office of the Assistant Chief of Staff for Intelligence (OG2-PAS) ของกองทัพฟิลิปปินส์

ในตอนแรก DOST ปฏิเสธว่าไม่มีส่วนเกี่ยวข้องกับการโจมตีดังกล่าว แต่ต่อมา นาง Rowena Guevara ปลัดของสำนักงานวิจัยและพัฒนา (Undersecretary for Research and Development) เปิดเผยกับสื่อท้องถิ่นว่า "กระทรวงฯ ให้ความช่วยเหลือกับหน่วยงานอื่น ๆ ของรัฐ โดยการอนุญาตให้สามารถนำไอพีแอดเดรสบางส่วนของกระทรวงฯ ไปใช้งานในระบบเครือข่ายภายในของหน่วยงานนั้นได้" แต่อย่างไรก็ตาม นาง Rowena ไม่ได้กล่าวถึงชื่อของหน่วยงานดังกล่าว และกล่าวปัดว่าให้เป็นหน้าที่ของรัฐบาลในการสอบสวนเรื่องนี้

เมื่อสัปดาห์ที่ผ่านมา, สำนักข่าว ABS-CBN รายงานว่า นักการเมืองของฟิลิปปินส์ชื่อ Ferdinand Gaite แสดงจุดยืนกลางที่ประชุมสภาผู้แทนราษฏรขอให้มีการสอบสวนกรณีที่มีผู้ให้บริการข่าวสารถูกโจมตีทางไซเบอร์โดยหน่วยงานของรัฐ Ferdinand กล่าวว่า "ผมคิดว่ามันค่อนข้างชัดเจนมากที่การโจมตีนี้เป็นฝีมือของรัฐ และผู้มีอำนาจมีนโยบายที่จะโจมตีสื่อที่มีความสำคัญ ผมคิดว่า ณ จุดนี้คำปฏิเสธของพวกเขานั้นฟังไม่ขึ้น"

ที่มา : ehackingnews