Juniper ออกแพตซ์นอกรอบแก้ไขช่องโหว่ Auth Bypass ระดับ Critical บนอุปกรณ์

Juniper Networks เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุด ซึ่งทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนในผลิตภัณฑ์ Session Smart Router (SSR), Session Smart Conductor และ WAN Assurance Router

CVE-2024-2973 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนโดยใช้วิธีการ หรือช่องทางอื่นใน Session Smart Router หรือ Conductor ของ Juniper Networks ที่ทำงานร่วมกับ redundant peer ทำให้สามารถเข้าควบคุมอุปกรณ์ทั้งหมดได้

ทั้งนี้ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Routers หรือ Conductors ที่ทำงานใน high-availability redundant configurations เท่านั้นที่จะได้รับผลกระทบจากช่องโหว่นี้

High-availability redundant configurations คือโหมดการตั้งค่า ที่ผู้ดูแลระบบต้องการความต่อเนื่องของบริการที่มีความสำคัญ การตั้งค่านี้มีความจำเป็นต่อการป้องกันการหยุดชะงักของบริการ และเพิ่มความยืดหยุ่นต่อเหตุการณ์ที่ไม่คาดคิดที่ก่อให้เกิดความขัดข้องของระบบ โดยการตั้งค่านี้ถือได้ว่าเป็นค่ามาตรฐานในโครงสร้างพื้นฐานเครือข่ายที่สำคัญ รวมถึงในสภาพแวดล้อมขององค์กรขนาดใหญ่ ศูนย์ข้อมูล โทรคมนาคม อีคอมเมิร์ซ และหน่วยงานของรัฐ หรือบริการสาธารณะ

เวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบจาก CVE-2024-2973 ได้แก่ :

Session Smart Router & Conductor :

ทุกเวอร์ชันก่อน 5.6.15
ตั้งแต่ 6.0 จนถึงก่อน 6.1.9-lts
ตั้งแต่ 6.2 จนถึงก่อน 6.2.5-sts

โดย Juniper ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน Session Smart Router เวอร์ชัน 5.6.15, 6.1.9-lts และ 6.2.5-sts

WAN Assurance Router :

เวอร์ชัน 6.0 จนถึงก่อน 6.1.9-lts
เวอร์ชัน 6.2 จนถึงก่อน 6.2.5-sts

โดย WAN Assurance Routers จะได้รับการแก้ไขโดยอัตโนมัติเมื่อเชื่อมต่อกับ Mist Cloud แต่ผู้ดูแลระบบ High-Availability clusters จำเป็นต้องทำการอัปเดตเป็นเวอร์ชัน SSR-6.1.9 หรือ SSR-6.2.5 ก่อน

Juniper แจ้งว่าการอัปเดตดังกล่าวไม่ส่งผลกระทบต่อการเชื่อมต่อ แต่ควรที่จะมีการเผื่อเวลา downtime ประมาณ 30 วินาทีสำหรับ web-based management และ API โดยขณะนี้ยังไม่มีวิธีในการลดผลกระทบ ทาง Juniper แนะนำให้ทำการอัปเดตเท่านั้น

การมุ่งเป้าการโจมตีไปยัง Juniper

ผลิตภัณฑ์ของ Juniper กลายเป็นเป้าหมายในการโจมตีของ Hacker เนื่องจากมีการใช้งานในระบบที่มีความสำคัญ ซึ่งในปี 2023 Juniper EX switches และ SRX firewalls ได้ตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ 4 รายการ โดยพบหลักฐานการโจมตีหลังจากเปิดเผยช่องโหว่ดังกล่าวไม่ถึงสัปดาห์

รวมถึงในช่วงไม่กี่เดือนที่ผ่านมา CISA ได้ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวเป็นวงกว้าง ทำให้ CISA ต้องสั่งให้หน่วยงานของรัฐทำการแก้ไขช่องโหว่ดังกล่าวโดยเร็วที่สุด

ที่มา : bleepingcomputer

Google เสนอรางวัลกว่า $250,000 เหรียญดอลลาร์ สำหรับช่องโหว่ zero-day KVM

Google จัดแข่งขันรายการ kvmCTF (Capture The Flag) ซึ่งเป็นการแข่งขันที่ให้รางวัลแก่ผู้ที่สามารถค้นพบช่องโหว่ได้ (Vulnerability Reward Program - VRP) โดยประกาศออกมาครั้งแรกในเดือนตุลาคม 2023 เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของ Kernel-based Virtual Machine (KVM) hypervisor โดยมีรางวัลมูลค่าสูงถึง $250,000 ดอลลาร์สำหรับช่องโหว่ที่สามารถใช้งานได้อย่างสมบูรณ์

KVM เป็น open-source hypervisor ที่ถูกพัฒนามานานกว่า 17 ปี ซึ่งได้ถูกใช้เป็นส่วนประกอบสำคัญในการตั้งค่าของระบบแอนดรอยด์ (Android) และ Google Cloud platforms ทั้งในฝั่งของผู้ใช้งานทั่วไป และภาคธุรกิจ

Google จัดรายการ kvmCTF เพื่อให้เป็นแพลตฟอร์มที่สามารถระบุ และแก้ไขช่องโหว่ที่มีบน KVM ซึ่งถือเป็นส่วนสำคัญอย่างยิ่งของระบบนี้

ซึงมีความคล้ายกันกับอีกโปรแกรมที่ให้รางวัลแก่การค้นพบช่องโหว่ ชื่อ kernelCTF ซึ่งมีเป้าหมายเป็นการหาช่องโหว่บน Linux kernel โดยมุ่งเน้นไปที่ช่องโหว่ที่สามารถเข้าถึงได้บน VM บน Kernel-based Virtual Machine (KVM) hypervisor

วัตถุประสงค์คือต้องทำการโจมตีแบบ guest-to-host ให้สำเร็จ โดยที่จะไม่มีการให้รางวัลแก่ช่องโหว่ที่เคยถูกค้นพบแล้วเช่น QEMU หรือ host-to-KVM

นักวิจัยด้านความปลอดภัยทางไซเบอร์ ที่สมัครเข้าโปรแกรมจะได้รับ Controlled lab environment สำหรับการทดสอบการโจมตีเพื่อหาช่องโหว่ต่าง ๆ แต่เฉพาะผู้ที่ค้นพบการโจมตีสำหรับช่องโหว่ zero-day เท่านั้นที่จะได้รับรางวัล

รางวัลระดับต่าง ๆ สำหรับการค้นพบช่องโหว่ของโปรแกรม kvmCTF มีดังนี้:

Full VM escape: $250,000
Arbitrary memory write: $100,000
Arbitrary memory read: $50,000
Relative memory write: $50,000
Denial of service: $20,000
Relative memory read: $10,000

โครงสร้างของ kvmCTF ถูกตั้งอยู่บน Google Bare Metal Solution (BMS) environment เพื่อแสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระดับสูง

วิศวกรซอฟท์แวร์ของ Google ชื่อ Marios Pomonis ได้ระบุเพิ่มเติมว่า “ผู้เข้าร่วมสามารถจองเวลาเพื่อเข้าถึง guest VM เพื่อทดสอบการโจมตี guest-to-host attack ได้ โดยที่จุดประสงค์ของการโจมตีจะต้องเป็นการใช้ช่องโหว่ zero day ในระบบ KVM subsystem บน host kernel เท่านั้น”

“และหากโจมตีสำเร็จ ผู้โจมตีจะได้รับ Flag เพื่อยืนยันถึงความสำเร็จในการโจมตีช่องโหว่นี้ โดยมีรางวัลที่แบ่งตามระดับของความรุนแรง ซึ่งอ้างอิงจากเกณฑ์การให้รางวัลตามที่ได้อธิบายไปในตอนต้น โดยที่รายงานทั้งหมดจะได้รับการประเมินอย่างละเอียด”

Google จะได้รับรายละเอียดของการค้นพบช่องโหว่ Zero-day ภายหลังจากการปรับปรุงจากผู้พัฒนาหลักแล้วเท่านั้น เพื่อให้ข้อมูลนี้ถูกเผยแพร่บนชุมชนของ open-source พร้อม ๆ กัน

ในการเริ่มต้น ผู้เข้าร่วมจะต้องศึกษา และทำความเข้าใจในกฏเกณฑ์ของโปรแกรม kvmCTF ซึ่งรวมไปถึงข้อมูลในการจองช่วงเวลาการเข้าถึง guest VM, การได้รับธงคำตอบต่าง ๆ (flags), ข้อยกเว้น ข้อห้ามในการสร้าง KASAN (Kernel Address Sanitizer) ต่าง ๆ ในการได้รับรางวัลของแต่ละระดับ, รวมถึงรายละเอียดคำแนะนำของขั้นตอนการนำเสนอรายงานช่องโหว่ที่พบ

ที่มา : bleepingcomputer

 

เครือข่ายองค์กรของ TeamViewer ถูกบุกรุกจากการโจมตีของกลุ่ม APT

TeamViewer บริษัทซอฟต์แวร์สำหรับ Remote Access ออกมายืนยันว่าระบบของบริษัทได้ถูกโจมตีทางไซเบอร์เมื่อวันที่ 26 มิถุนายน ที่ผ่านมา โดยบริษัทคาดว่าผู้โจมตีเป็นกลุ่ม APT

TeamViewer ระบุในโพสต์บน Trust Center ว่า "เมื่อวันพุธที่ 26 มิถุนายน 2024 ทีมรักษาความปลอดภัยของบริษัท ได้ตรวจพบความผิดปกติในระบบไอทีภายในของ TeamViewer"

"บริษัทได้ใช้มาตรการ และขั้นตอนด้านความปลอดภัยทันที เริ่มจากการสอบสวนร่วมกับทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีชื่อเสียงระดับโลก และดำเนินการแก้ไขที่จำเป็น" (more…)

กลุ่ม UAC-0184 ใช้ Python ในการโจมตีแบบ DLL Sideloading เพื่อแพร่กระจายมัลแวร์ XWORM

เมื่อไม่นานมานี้ CRIL พบแคมเปญมัลแวร์ที่มุ่งเป้าไปยังประเทศยูเครนโดยใช้ Remote Access Trojan (RAT) ชื่อ XWorm จากการตรวจสอบพบว่าแคมเปญนี้เกี่ยวข้องกับกลุ่ม UAT-0184 ซึ่งก่อนหน้านี้กลุ่ม UAC-0184 ได้มุ่งเป้าหมายไปยังหน่วยงานของยูเครนในประเทศฟินแลนด์ โดยใช้ Remcos RAT ในการโจมตี โดยใช้เทคนิคต่าง ๆ เช่น ไฟล์ steganographic image และ IDAT Loader (SHADOWLADDER, GHOSTPULSE) ในการแพร่กระจายมัลแวร์

ในช่วงปลายเดือนพฤษภาคม ทาง CRIL พบแคมเปญที่ผู้ไม่หวังดีใช้ไฟล์ที่ใช้ Python ซึ่งเป็นส่วนหนึ่งของเทคนิคในการหลบหลีกการตรวจจับ โดยวิธีการโจมตีในเบื้องต้นยังไม่ทราบแน่ชัด แต่มีความเป็นไปได้ว่าจะแพร่กระจายผ่านอีเมลฟิชชิง หรืออีเมลอันตรายที่มีไฟล์แนบ .ZIP

การตรวจสอบเริ่มต้นด้วยการวิเคราะห์ไฟล์ .lnk ที่พบในไฟล์ ZIP ซึ่งเมื่อดำเนินการ LNK shortcut จะเรียกใช้สคริปต์ PowerShell ที่ดาวน์โหลด ZIP file เพิ่มเติม และเอกสารปลอม ไฟล์ ZIP นี้จะมีหลายรายการ รวมถึง Python executable, Python DLL ที่เป็นอันตราย และไฟล์ไบนารี payload ที่ถูกเข้ารหัส เทคนิคการแพร่กระจายมัลแวร์นี้ใช้วิธีการ DLL sideloading และ Shadowloader เพื่อเรียกใช้ final payload ซึ่งถูกระบุว่าเป็น XWorm RAT

ภาพด้านล่างแสดง infection chain ของกลุ่ม UAC-0184 เพื่อเรียกใช้งาน XWorm payload

การวิเคราะห์ทางเทคนิค

เมือทำการแตกไฟล์ ZIP จะพบไฟล์ LNK shortcut ชื่อ "NewCopy.

โมดูล Facebook PrestaShop กำลังถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮ็กเกอร์ใช้ประโยชน์จากช่องโหวในโมดูล Facebook ระดับพรีเมี่ยม สำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อติดตั้ง card skimmer บนเว็บไซต์ e-commerce ที่มีช่องโหว่ และขโมยข้อมูลการชำระเงินผ่านบัตรเครดิตของผู้ใช้งาน

PrestaShop เป็นแพลตฟอร์ม e-commerce แบบ open-source ที่ช่วยให้ผู้ใช้งาน และธุรกิจสามารถสร้าง และจัดการร้านค้าออนไลน์ได้ โดยในปี 2024 มีร้านค้าออนไลน์ประมาณ 300,000 แห่งทั่วโลกที่ใช้งานอยู่

pkfacebook เป็น add-on ของบริษัท Promokit เป็นโมดูลที่ช่วยให้ผู้เยี่ยมชมร้านค้าเข้าสู่ระบบได้โดยใช้บัญชี Facebook, แสดงความคิดเห็นในเพจของร้านค้า และสื่อสารกับฝ่าย support โดยใช้ Messenger

Promokit มียอดขายมากกว่า 12,500 ครั้ง แต่โมดูล Facebook จะถูกขายผ่านเว็บไซต์ของ Promokit เท่านั้น และไม่มีรายละเอียดอื่น ๆ เกี่ยวกับ sales number

ช่องโหว่ระดับ Critical หมายเลข CVE-2024-36680 เป็นช่องโหว่ SQL Injection ใน Ajax สคริปต์ facebookConnect.

การโจมตีรูปแบบใหม่โดยใช้ MSC files และช่องโหว่ Windows XSS เพื่อเข้าถึงเครือข่ายของเป้าหมาย

พบเทคนิคการโจมตีรูปแบบใหม่ที่เรียกว่า 'GrimResource' โดยใช้ MSC ที่ถูกสร้างขึ้นมาเป็นพิเศษ (Microsoft Saved Console) และช่องโหว่ Windows XSS ที่ยังไม่ได้มีการอัปเดต เพื่อเรียกใช้คำสั่งผ่าน Microsoft Management Console

ในเดือนกรกฎาคม 2022 Microsoft ได้ปิดใช้งาน Macro เป็นค่าเริ่มต้นของ Office ทำให้ Hacker ต้องเปลี่ยนวิธีการไปใช้ไฟล์ประเภทใหม่ในการโจมตีแบบ phishing แทน

โดยพบว่า Hacker ได้เปลี่ยนมาใช้ ISO images และไฟล์ ZIP ที่มีการใส่รหัสผ่าน เนื่องจากไฟล์ประเภทดังกล่าวไม่สามารถถูกตรวจสอบได้จากฟีเจอร์ Mark of the Web (MoTW) ของ Windows

ต่อมา Microsoft ได้แก้ไขปัญหาดังกล่าวใน ISO files และ 7-Zip ทำให้ Hacker ต้องเปลี่ยนไปใช้ไฟล์แนบรูปแบบใหม่ เช่น Windows Shortcuts และ OneNote files

โดยปัจจุบัน Hacker ได้เปลี่ยนไปใช้ไฟล์ประเภทใหม่คือไฟล์ Windows MSC (.msc) ที่ถูกใช้ใน Microsoft Management Console (MMC) เพื่อจัดการแง่มุมต่าง ๆ ของระบบปฏิบัติการ หรือสร้างมุมมองที่กำหนดเองของ accessed tools

จากรายงานของ Genian บริษัทรักษาความปลอดภัยทางไซเบอร์ของเกาหลีใต้ ได้ค้นพบการใช้ไฟล์ MSC ในการโจมตีโดยการฝังมัลแวร์ไว้ในไฟล์ รวมถึงทางนักวิจัยจาก Elastic ได้ค้นพบเทคนิคใหม่ในการแพร่กระจายไฟล์ MSC และใช้ช่องโหว่ของ Windows XSS ที่ยังไม่ถูกแก้ไขใน apds.

สหรัฐฯ สั่งห้ามใช้ผลิตภัณฑ์ของ Kaspersky เนื่องจากความเสี่ยงด้านความปลอดภัย

ผู้ใช้งาน Kaspersky ในสหรัฐฯ มีเวลาจนถึงวันที่ 29 กันยายน 2024 เพื่อหาซอฟต์แวร์รักษาความปลอดภัยอื่นมาทดแทน (more…)

แคมเปญ ONNX Store phishing มุ่งเป้าการโจมตีไปยังบัญชี Microsoft 365 ของบริษัททางด้านการเงิน

 

พบแคมเปญ phishing-as-a-service (PhaaS) platform ใหม่ในชื่อ ONNX Store ได้กำหนดเป้าหมายการโจมตีไปยังบัญชี Microsoft 365 สำหรับพนักงานในบริษัททางด้านการเงิน โดยใช้ QR code ในไฟล์แนบ PDF (more…)

ประเทศจีนเป็นเป้าหมายการโจมตีแบบฟิชชิ่งด้วย QR Code มากขึ้นผ่านทางเอกสารทางการปลอม

ในปัจจุบันที่ภัยคุกคามทางไซเบอร์มีการพัฒนาอย่างรวดเร็ว ทำให้มีการใช้ QR Code เป็นช่องทางใหม่ในการล่อลวงเหยื่อ โดยเมื่อไม่นานมานี้ พบการเพิ่มขึ้นจำนวนมากของเอกสารที่ฝัง QR Code ที่เป็นอันตราย ซึ่งเมื่อทำการสแกน เหยื่อจะถูกนำไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคล (more…)

VMware แก้ไขช่องโหว่ RCE ระดับ Critical บน vCenter ควรอัปเดตโดยด่วน

VMware แจ้งเตือนช่องโหว่ระดับ critical ใน vCenter Server โดยเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และช่องโหว่ในการยกระดับสิทธิ์ (privilege escalation) (more…)