นักวิจัยค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญของอุตสาหกรรมที่ใช้ MMS Protocol Libraries

มีการเปิดเผยรายละเอียดถึงช่องโหว่ด้านความปลอดภัยหลายรายการในการใช้งานสองรูปแบบของโปรโตคอล Manufacturing Message Specification (MMS) ซึ่งหากถูกโจมตีได้สำเร็จ อาจส่งผลกระทบอย่างร้ายแรงต่อภาพรวมของอุตสาหกรรม

นักวิจัย Mashav Sapir และ Vera Mens จาก Claroty ระบุว่า "ช่องโหว่เหล่านี้อาจทำให้ผู้โจมตีสามารถทำให้อุปกรณ์อุตสาหกรรมหยุดทำงาน หรือในบางกรณี อาจทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

MMS เป็นโปรโตคอลสำหรับการรับส่งข้อความใน OSI application layer ที่ช่วยให้สามารถควบคุม และตรวจสอบอุปกรณ์อุตสาหกรรมจากระยะไกลได้ โดยทำการแลกเปลี่ยนข้อมูลการควบคุมดูแลในลักษณะที่ไม่ขึ้นกับแอปพลิเคชันใด ๆ

โดยเฉพาะอย่างยิ่ง โปรโตคอลนี้ช่วยให้การสื่อสารระหว่างอุปกรณ์อิเล็กทรอนิกส์อัจฉริยะ Intelligent electronic devices (IEDs) กับระบบควบคุม และการเก็บข้อมูลระยะไกล (SCADA) หรือ Programmable logic controllers (PLCs)

ช่องโหว่ทั้ง 5 รายการที่ถูกระบุโดยบริษัทด้านความปลอดภัยเทคโนโลยีนี้ ส่งผลกระทบต่อไลบรารี libIEC61850 ของ MZ Automation และไลบรารี TMW IEC 61850 ของ Triangle MicroWorks ซึ่งได้รับการแก้ไขไปแล้วในเดือนกันยายน และตุลาคม 2022 หลังจากมีการเปิดเผยข้อมูล

CVE-2022-2970 (คะแนน CVSS: 10.0) - ช่องโหว่แบบ stack-based buffer overflow ใน libIEC61850 ที่อาจนำไปสู่การหยุดทำงาน หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
CVE-2022-2971 (คะแนน CVSS: 8.6) - ช่องโหว่แบบ type confusion ใน libIEC61850 ที่อาจทำให้ผู้โจมตีสามารถทำให้เซิร์ฟเวอร์หยุดทำงานด้วย payload ที่เป็นอันตราย
CVE-2022-2972 (คะแนน CVSS: 10.0) - ช่องโหว่แบบ stack-based buffer overflow ใน libIEC61850 ที่อาจนำไปสู่การหยุดทำงาน หรือการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล
CVE-2022-2973 (คะแนน CVSS: 8.6) - ช่องโหว่แบบ null pointer deference ที่อาจทำให้ผู้โจมตีสามารถทำให้เซิร์ฟเวอร์หยุดทำงานได้
CVE-2022-38138 (คะแนน CVSS: 7.5) - ช่องโหว่แบบ access of uninitialized pointer ที่ทำให้ผู้โจมตีสามารถโจมตีแบบ denial-of-service (DoS) ได้

การวิเคราะห์ของ Claroty ยังพบว่า SIPROTEC 5 IED ของ Siemens ใช้ MMS-EASE stack เวอร์ชันเก่าของ SISCO สำหรับการรองรับ MMS ซึ่งมีความเสี่ยงต่อการโจมตีแบบ DoS ผ่านแพ็คเก็ตที่ถูกสร้างขึ้นมาเป็นพิเศษ (CVE-2015-6574, คะแนน CVSS: 7.5)

ตามคำเตือนที่เผยแพร่โดยสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) บริษัทสัญชาติเยอรมันได้อัปเดตเฟิร์มแวร์ด้วยเวอร์ชันล่าสุดของ protocol stack ตั้งแต่เดือนธันวาคม 2022

Claroty ระบุว่า งานวิจัยนี้แสดงให้เห็นถึง "ช่องว่างระหว่างความต้องการด้านความปลอดภัยของเทคโนโลยีสมัยใหม่กับโปรโตคอลที่ล้าสมัย และยากที่จะเปลี่ยนแปลง" เพื่อกระตุ้นให้ผู้ผลิตปฏิบัติตามแนวทางด้านความปลอดภัยที่ออกโดย CISA

การเปิดเผยนี้เกิดขึ้นหลังจากที่ Nozomi Networks ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่สองรายการ โดยอ้างอิงจากการใช้งานของโปรโตคอลไร้สาย ESP-NOW ของ Espressif (CVE-2024-42483 และ CVE-2024-42484) ซึ่งอาจอนุญาตให้เกิดการโจมตีแบบ replay และการโจมตีแบบ DoS ได้

ทางบริษัทระบุว่า "ขึ้นอยู่กับระบบที่ถูกโจมตี ช่องโหว่นี้ [CVE-2024-42483] อาจส่งผลกระทบอย่างรุนแรง และ ESP-NOW ซึ่งถูกใช้ในระบบรักษาความปลอดภัย เช่น สัญญาณเตือนภัยในอาคาร ช่วยให้สามารถสื่อสารกับเซ็นเซอร์ตรวจจับการเคลื่อนไหวได้"

"ในกรณีนี้ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อนำคำสั่ง 'OFF' ที่ดักจับไว้มาก่อนหน้านี้กลับมาใช้ซ้ำ ทำให้เซ็นเซอร์ตรวจจับการเคลื่อนไหวไม่ทำงานตามต้องการ"

อีกทางเลือกหนึ่ง การใช้ ESP-NOW ในอุปกรณ์เปิดประตูจากระยะไกล เช่น ประตูรั้วอัตโนมัติ และประตูโรงรถ อาจถูกนำมาใช้ในทางที่ผิดโดยการดักจับคำสั่ง "เปิด" และใช้ในภายหลังเพื่อเข้าถึงอาคารโดยไม่ได้รับอนุญาต

เมื่อย้อนกลับไปเดือนสิงหาคมที่ผ่านมา Nozomi Networks ยังได้เปิดเผยช่องโหว่ 37 รายการที่ยังไม่ได้รับการแก้ไขในไลบรารีการแยกวิเคราะห์ OpenFlow libfluid_msg ที่เรียกรวมกันว่า FluidFaults ซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่อทำให้แอปพลิเคชัน Software-Defined Networking (SDN) หยุดทำงานได้

บริษัทยังระบุอีกว่า "ผู้โจมตีที่สามารถเข้าถึงเครือข่ายของ OpenFlow controller/forwarder สามารถส่งแพ็กเก็ตเครือข่าย OpenFlow ที่เป็นอันตรายซึ่งนำไปสู่การโจมตีแบบ DoS ได้"

ในช่วงไม่กี่เดือนที่ผ่านมา ยังพบช่องโหว่ด้านความปลอดภัยในระบบปฏิบัติการ TwinCAT/BSD ของ Beckhoff Automation ที่อาจทำให้ PLCs เสี่ยงต่อการถูกแก้ไข logic, การโจมตีแบบ DoS และแม้กระทั่งการเรียกใช้คำสั่งด้วยสิทธิ์ระดับ root บน controller

ที่มา : thehackernews.

MisterioLNK เครื่องมือสร้าง Open-Source ที่อยู่เบื้องหลังมัลแวร์ Loaders ที่เป็นอันตราย

Cyble Research and Intelligence Labs (CRIL) ได้พบเครื่องมือสร้าง loader ตัวใหม่ที่ไม่เคยถูกตรวจพบมาก่อน ซึ่งถูกเรียกว่า “MisterioLNK” การค้นพบนี้เกิดขึ้นหลังจากการวิเคราะห์ก่อนหน้านี้เกี่ยวกับ Quantum Software ซึ่งเป็นเครื่องมือสร้างไฟล์ LNK อีกรายการที่กำลังได้รับความนิยมในโลกไซเบอร์ โดย MisterioLNK ที่สามารถเข้าถึงได้บน GitHub เป็นความท้าทายที่สำคัญต่อระบบป้องกันความปลอดภัย เนื่องจากไฟล์ที่สร้างโดยเครื่องมือนี้แสดงให้เห็นถึงอัตราการตรวจจับที่ต่ำมาก หรือไม่พบเลยจากระบบรักษาความปลอดภัยแบบทั่วไป

ตามที่ได้อธิบายไว้ใน GitHub MisterioLNK เป็นเครื่องมือสร้าง loader แบบ open-source ที่ใช้ Windows script engines ในดำเนินการเพย์โหลดที่เป็นอันตราย พร้อมทั้งใช้การเข้ารหัสเพื่อช่วยซ่อนตัวอีกด้วย มันถูกออกแบบมาให้ทำงานอย่างเงียบ ๆ โดยการดาวน์โหลดไฟล์ไปยังไดเรกทอรีชั่วคราวก่อนที่จะเรียกใช้ไฟล์เหล่านั้น ซึ่งจะช่วยเพิ่มความสามารถในการหลีกเลี่ยงการตรวจจับ ทำให้การตรวจจับโดยมาตรการรักษาความปลอดภัยแบบทั่วไปเป็นเรื่องที่ยาก

ฟีเจอร์หลักของ MisterioLNK ประกอบไปด้วยวิธีการสร้าง loader ห้าแบบ ได้แก่ HTA, BAT, CMD, VBS, และ LNK รวมถึงสามวิธีการเข้ารหัสเฉพาะสำหรับ VBS, CMD, และ BAT โดยมีแผนที่จะเพิ่มการสนับสนุนการเข้ารหัสสำหรับ HTA ในไม่ช้า นอกจากนี้เครื่องมือนี้ยังรองรับการปรับแต่งไอคอนของไฟล์ LNK อีกด้วย

โปรเจ็กต์นี้ยังอยู่ในช่วงเบต้าในขณะนี้ และผู้พัฒนาได้แจ้งเตือนว่าอาจมีข้อผิดพลาด และปัญหาเกิดขึ้น พวกเขาสนับสนุนให้ผู้ใช้งานรายงานปัญหาต่าง ๆ ผ่านทางหน้าแจ้งปัญหาของ GitHub นอกจากนี้ ผู้พัฒนายังไม่รับผิดชอบต่อการดำเนินการที่ผิดกฎหมายที่เกิดขึ้นจากการใช้ซอฟต์แวร์นี้ โดยเน้นว่าผู้ใช้ต้องมั่นใจว่าการกระทำของตนเป็นไปตามกฎหมาย และข้อบังคับที่เกี่ยวข้อง

กลุ่มผู้ไม่หวังดี เริ่มใช้เครื่องมือสร้าง loader MisterioLNK เพื่อสร้างไฟล์ที่ถูกเข้ารหัสเพื่อใช้ในการติดตั้งมัลแวร์ เช่น Remcos RAT, DC RAT และ BlankStealer ที่น่าตกใจคือ loader เหล่านี้ส่วนใหญ่สามารถหลีกเลี่ยงการตรวจจับได้ โดยมีหลายไฟล์ที่ยังไม่ถูกตรวจจับโดยผู้ผลิตภัณฑ์ด้านความปลอดภัย

ในการวิจัยของ CRIL ได้รวมไฟล์ loader ทั้งหมด เพื่อตรวจสอบความสามารถในการตรวจจับ ตัวอย่างที่สร้างขึ้นโดยใช้ MisterioLNK แสดงให้เห็นว่า จากไฟล์ทั้งหกไฟล์ มีเพียงไฟล์เดียวที่ถูกตรวจจับได้ โดยมีการตรวจจับทั้งหมด 16 ครั้ง ขณะที่อีกสองไฟล์ถูกตรวจจับอย่างละหนึ่งไฟล์ และสามไฟล์แสดงว่าไม่มีการตรวจจับ แม้ว่าผลิตภัณฑ์ด้านความปลอดภัยจะสามารถตรวจจับ LNK และ VBS ที่ถูกเข้ารหัสได้อย่างมีประสิทธิภาพ แต่การตรวจจับไฟล์ loader ประเภท BAT, CMD, HTA, และ VBS ยังคงอยู่ในระดับต่ำ

 

รายละเอียดทางเทคนิค

Misterio.

CISA แจ้งเตือนช่องโหว่ RCE ระดับ critical ของ Fortinet ที่กำลังถูกนำมาใช้ในการโจมตี

วันที่ 9 ตุลาคม 2024 CISA ได้แจ้งเตือนว่าพบผู้โจมตีที่กำลังใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ critical ของ FortiOS ในการโจมตีจริงแล้ว (more…)

Microsoft แก้ไขปัญหา Remote Desktop ที่เกิดจากการอัปเดต Windows Server

Microsoft แจ้งว่า Patch Tuesday ประจำเดือนตุลาคม 2024 จะแก้ไขปัญหา Remote Desktop ในเครือข่ายองค์กรหลังจากติดตั้งการอัปเดตด้านความปลอดภัย Windows Server ประจำเดือนกรกฎาคม 2024 (more…)

Palo Alto Networks แจ้งเตือนการโจมตี Firewall ด้วยช่องโหว่ public exploit

Palo Alto Networks ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตช่องโหว่ด้านความปลอดภัย (ด้วย public exploit code) ที่ทำให้สามารถโจมตีเพื่อเข้าถึง PAN-OS firewalls ได้ (more…)

Microsoft October 2024 Patch Tuesday fixes 5 zero-days, 118 flaws

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนตุลาคม 2024 โดยได้แก้ไขช่องโหว่ 118 รายการ รวมถึงช่องโหว่ที่กำลังถูกใช้ในการโจมตี 2 รายการ และช่องโหว่ Zero-day ที่ถูกเปิดเผยต่อสาธารณะ 5 รายการ

(more…)

Cyble Honeypot Sensors ตรวจพบการโจมตีที่มุ่งเป้าหมายไปที่ D-Link, Cisco, QNAP และ Linux

Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา (more…)

ADT ยืนยันการถูกละเมิดข้อมูลอีกครั้ง โดยมีสาเหตุจากข้อมูล Credentials ที่ถูกแฮ็ก

ADT ผู้ให้บริการด้านความปลอดภัยสำหรับที่อยู่อาศัย และธุรกิจขนาดเล็ก ได้เปิดเผยถึงการถูกโจมตีทางไซเบอร์ หลังจากที่ผู้ไม่หวังดีเข้าถึงระบบของตนโดยใช้ข้อมูล Credentials ** ที่ถูกโจมตีมาจากพันธมิตรทางธุรกิจของตน ในเอกสาร Form 8-K ที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ในวันจันทร์ ADT ยืนยันว่ามีการโจมตีทางไซเบอร์เกิดขึ้น ซึ่งนำไปสู่การขโมยข้อมูลบัญชีพนักงานที่เข้ารหัสไว้ (more…)

ระบบ IT ของ Casio ขัดข้อง หลังจากเกิดเหตุการณ์การโจมตีเครือข่ายเมื่อสุดสัปดาห์ที่ผ่านมา

Casio บริษัทด้านเทคโนโลยีขนาดใหญ่ของญี่ปุ่นถูกโจมตีทางไซเบอร์ หลังจากที่มีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงเครือข่ายของบริษัทเมื่อวันที่ 5 ตุลาคม 2024 ส่งผลให้ระบบล่ม และส่งผลกระทบต่อบริการบางส่วนของบริษัท

การเปิดเผยดังกล่าวมาจาก Casio Computer ซึ่งเป็นบริษัทแม่ของแบรนด์ Casio ที่รู้จักกันอย่างแพร่หลายในด้านนาฬิกา, เครื่องคิดเลข, เครื่องดนตรี, กล้องถ่ายรูป และอุปกรณ์อิเล็กทรอนิกส์อื่น ๆ (more…)

Universal Music Group ยอมรับการถูกละเมิดข้อมูล

Universal Music Group (UMG) เป็นหนึ่งในบริษัทเพลงที่ใหญ่ที่สุดในโลก ได้เปิดเผยถึงการถูกละเมิดข้อมูลที่เกิดขึ้นในกลางเดือนกรกฎาคม 2024

ตามเอกสารที่ยื่นกับสำนักงานอัยการสูงสุดของรัฐเมน การละเมิดข้อมูลนี้อาจทำให้ข้อมูลส่วนตัวของผู้ที่อาศัยอยู่ในสหรัฐฯ จำนวน 680 คน ถูกเปิดเผย (more…)