พบการโจมตีผ่านช่องโหว่ SQL Injection บน Plugin WP Automatic ของ WordPress นับล้านครั้ง

กลุ่ม Hackers ทำการโจมตีเป้าหมายโดยการมุ่งเป้าไปที่ช่องโหว่ปลั๊กอิน WP Automatic ซึ่งเป็นช่องโหว่ที่มีความรุนแรงในระดับ Critical โดยทำการสร้างบัญชีผู้ใช้ที่มีสิทธิ์สูง และวาง backdoors ไว้เพื่อการเข้าถึงในระยะยาว (more…)

พบ Python backdoor ตัวใหม่ ที่มุ่งเป้าไปยัง developer โดยการส่ง job interview ปลอม

พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)

ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล

จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้

การโจมตีแบบ Multi-stage infection chain

การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง

Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository

ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory

เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.

HPE Aruba Network แก้ไขช่องโหว่ RCE ระดับ Critical 4 รายการ บน ArubaOS

HPE Aruba Network เผยแพร่รายงานการแก้ไขช่องโหว่ด้านความปลอดภัยในเดือนเมษายน 2024 โดยเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ที่ส่งผลกระทบต่อ ArubaOS หลายเวอร์ชัน ซึ่งเป็นระบบ network operating ของบริษัท

ในรายงานดังกล่าวได้เปิดเผยช่องโหว่ 10 รายการ โดย 4 รายการเป็นช่องโหว่ buffer overflow ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน ซึ่งมีความรุนแรงระดับ Critical (คะแนน CVSS 9.8/10) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

รวมถึงช่องโหว่อีก 6 รายการที่มีระดับความรุนแรงระดับ Medium (CVSS 5.3 – 5.9/10) ซึ่งอาจทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถโจมตีแบบ Denial of Service (DoS) บนอุปกรณ์ที่มีช่องโหว่

ผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ ได้แก่:

HPE Aruba Networking Mobility Conductor, Mobility Controllers, WLAN Gateways และ SD-WAN Gateways managed by Aruba Central
ArubaOS 10.5.1.0 และต่ำกว่า, 10.4.1.0 และต่ำกว่า, 8.11.2.1 และต่ำกว่า และ 10.0.10 และต่ำกว่า ArubaOS และ SD-WAN ทุกรุ่นที่เข้าถึง EoL ซึ่งรวมถึง ArubaOS ที่ต่ำกว่า 10.3, 8.9, 8.8, 8.7, 8.6, 6.5.4 และ SD-WAN 2.3.0 ถึง 8.7.0.0 และ 2.2 ถึง 8.6.0.4

ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล 4 รายการ :

CVE-2024-26305 – ช่องโหว่ใน Utility daemon ของ ArubaOS ที่ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ได้โดยการส่ง packets ที่สร้างขึ้นมาเป็นพิเศษไปยัง PAPI (Aruba's access point management protocol) UDP port (8211)

CVE-2024-26304 – ช่องโหว่ใน L2/L3 Management service ซึ่งอนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ได้รับอนุญาตผ่าน packets ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งส่งไปยัง PAPI UDP port (8211)

CVE-2024-33511 – ช่องโหว่ใน Automatic Reporting service ที่สามารถโจมตีได้โดยการส่ง packets ที่สร้างขึ้นมาเป็นพิเศษไปยังพอร์ต PAPI protocol port เพื่อให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

CVE-2024-33512 – ช่องโหว่ที่อนุญาตให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดโดยใช้ช่องโหว่ buffer overflow ใน Local User Authentication Database service ที่เข้าถึงผ่าน PAPI protocol

การแก้ไขช่องโหว่

HPE Aruba Network ได้แนะนำให้ผู้ใช้งานเปิดใช้งาน Enhanced PAPI Security และอัพเดท ArubaOS เป็นเวอร์ชันที่ได้รับการแก้ไขช่องโหว่แล้ว

ArubaOS เวอร์ชัน 6.0.0 ขึ้นไป
ArubaOS เวอร์ชัน 5.1.1 ขึ้นไป
ArubaOS เวอร์ชัน 10.4.1.1 ขึ้นไป
ArubaOS เวอร์ชัน 11.2.2 ขึ้นไป
ArubaOS เวอร์ชัน 10.0.11 ขึ้นไป

ปัจจุบันทาง HPE Aruba Network ยังไม่เปิดเผยรายละเอียดเกี่ยวกับการพบการนำช่องโหว่ดังกล่าวไปใช้ในการโจมตี หรือการเผยแพร่ชุดสาธิตการโจมตี (PoC) สำหรับช่องโหว่ดังกล่าว แต่แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์ความปลอดภัยโดยเร็วที่สุด เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์ DPRK โจมตีผู้รับเหมาด้านกลาโหมของเกาหลีใต้

สำนักงานตำรวจแห่งชาติเกาหลีใต้ออกคำเตือนเร่งด่วนเกี่ยวกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือที่มุ่งเป้าไปที่หน่วยงานในอุตสาหกรรมการป้องกันประเทศเพื่อขโมยข้อมูลด้านเทคโนโลยีที่มีความสำคัญ (more…)

Synlab Italia ยุติการให้บริการ หลังถูก Ransomware โจมตี

Synlab Italia ยุติการดำเนินงานด้านบริการวินิจฉัย และตรวจสอบทางการแพทย์เนื่องด้วยหลายระบบ IT ของบริษัทล่มจากการถูกโจมตีด้วย Ransomware (more…)

นักพัฒนามัลแวร์ล่อลวงผู้แสวงผลประโยชน์จากเด็กเข้าไปในกับดัก honeytrap เพื่อขู่กรรโชก

พบแคมเปญมัลแวร์ใหม่ที่กำลังกำหนดเป้าหมายไปยังกลุ่มคนที่แสวงหาผลประโยชน์จากเด็ก

ตั้งแต่ปี 2012 ผู้โจมตีได้สร้างมัลแวร์ และแรนซัมแวร์หลากหลายรูปแบบที่ปลอมแปลงเป็นหน่วยงานของรัฐเพื่อเตือนผู้ใช้งานที่ติดมัลแวร์ว่าพวกเขากำลังกระทำความผิดจากการเข้าชม CSAM (Child Sexual Abuse Material) โดยมัลแวร์จะแจ้งให้เหยื่อยอมจ่ายค่าปรับ เพื่อป้องกันไม่ให้ข้อมูลของพวกเขาถูกส่งไปยังหน่วยงานบังคับใช้กฎหมาย

หนึ่งในการดำเนินการของแรนซัมแวร์ในยุคใหม่ เรียกว่า Anti-Child Porn Spam Protection หรือ (more…)

Visa แจ้งเตือนการพบมัลแวร์ JSOutProx ชนิดใหม่ มุ่งเป้าไปที่สถาบันทางการเงิน

Visa ดำเนินการแจ้งเตือนเกี่ยวกับการตรวจพบมัลแวร์ JSOutProx เวอร์ชันใหม่ที่มีเป้าหมายเป็นสถาบันทางการเงิน และลูกค้าของพวกเขา

การแจ้งเตือนจากหน่วยงาน Visa’s Payment Fraud Disruption (PFD) พบว่าถูกส่งต่อไปยังหน่วยงานที่ทำหน้าที่ออกบัตร, ผู้ประมวลผล และผู้ใช้งานบัตร Visa ซึ่ง Visa ระบุว่า บริษัทได้รับทราบข้อมูลเกี่ยวกับภัยคุกคามของแคมเปญฟิชชิ่ง (Phishing) รูปแบบใหม่ ที่กำลังถูกใช้เพื่อแพร่กระจายโทรจัน (Trojan) ในวันที่ 27 มีนาคม 2024 ที่ผ่านมา

แคมเปญนี้มุ่งเป้าไปที่สถาบันทางการเงินในตอนใต้ของเอเชีย เอเชียตะวันออกเฉียงใต้ (more…)

CrushFTP แจ้งเตือนผู้ใช้งานเร่งอัปเดตแพตซ์ช่องโหว่ Zero-day โดยด่วน

CrushFTP แจ้งเตือนผู้ใช้งานให้เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ Zero-day หมายเลข CVE-2024-4040 ซึ่งเป็นช่องโหว่ Sandbox Escape ของ CrushFTP VFS โดยด่วน หลังจากพบว่ากลุ่ม Hacker กำลังใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมาย

CVE-2024-4040 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเข้าถึง virtual file system (VFS) ของผู้ใช้ และดาวน์โหลดไฟล์ระบบได้

อย่างไรก็ตามผู้ที่ใช้เครือข่าย DMZ (demilitarized zone) ในหน้าหลักของ CrushFTP instance จะได้รับการป้องกันจากการโจมตี โดยช่องโหว่ดังกล่าวถูกการรายงานโดย Simon Garrelou จาก Airbus CERT ซึ่งขณะนี้ได้รับการแก้ไขช่องโหว่ไปแล้วใน CrushFTP เวอร์ชัน 10.7.1 และ 11.1.0

CrushFTP ได้แจ้งเตือนให้ผู้ใช้งาน CrushFTP เวอร์ชัน 9 ทำการอัปเดตเป็น CrushFTP เวอร์ชัน11 หรืออัปเดต instance ผ่านหน้า dashboard โดยด่วนหลังจากที่พบว่าช่องโหว่ดังกล่าวกำลังถูก Hacker นำไปใช้ในการโจมตีแล้ว

รวมถึงจากข้อมูลของ Shodan พบว่ามี CrushFTP instance อย่างน้อย 2,700 รายการ ที่มี web interface ที่สามารถถูกโจมตีทางออนไลน์ได้ แต่ยังไม่สามารถที่จะระบุได้ว่ามีกี่รายการที่ยังไม่ได้อัปเดตแพตซ์ช่องโหว่

การโจมตีช่องโหว่ CVE-2024-4040

CrowdStrike บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้ยืนยันการพบการโจมตีช่องโหว่ดังกล่าวในรายงานข่าวกรอง พร้อมข้อมูลเพิ่มเติมเกี่ยวกับกลยุทธ์ เทคนิค และวัตถุประสงค์ (TTP) ของ Hacker

ทั้งนี้ทางทีม Falcon OverWatch และ Falcon Intelligence พบว่า Hacker ได้นำช่องโหว่ Zero-Day ใน CrushFTP ไปใช้ในการโจมตีแบบกำหนดเป้าหมายไปที่ CrushFTP servers ที่องค์กรหลายแห่งในสหรัฐฯ และมีหลักฐานว่าเป็นแคมเปญที่ใช้สำหรับรวบรวมข่าวกรองทางด้านการเมือง

ในเดือนพฤศจิกายน 2023 ลูกค้า CrushFTP ได้รับคำเตือนให้แก้ไขช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (CVE-2023-43177) หลังจากที่นักวิจัยด้านความปลอดภัยของ Converge ที่รายงานช่องโหว่ดังกล่าวได้เผยแพร่ชุดสาธิตการโจมตี หรือ PoC ออกมา

ที่มา : bleepingcomputer.

MITRE ยืนยันเหตุการณ์การถูกโจมตีผ่านช่องโหว่ Ivanti zero-days

MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

พบช่องโหว่บน PuTTY SSH client ที่ทำให้สามารถกู้คืน Private Key ที่เข้ารหัสได้

พบช่องโหว่ใน PuTTY เวอร์ชัน 0.68 ถึง 0.80 ที่อาจทำให้ Hacker ที่มีสิทธิ์เข้าถึง cryptographic signatures 60 รายการสามารถกู้คืน private key ที่ใช้ในการสร้างได้

PuTTY เป็นโปรแกรมโอเพ่นซอร์ส terminal emulator, serial console และ network file transfer แอปพลิเคชันที่ได้รับความนิยม ซึ่งรองรับ SSH (Secure Shell), Telnet, SCP (Secure Copy Protocol) และ SFTP (SSH File Transfer Protocol) โดยที่ผู้ดูแลระบบ และนักพัฒนาส่วนใหญ่ใช้ซอฟต์แวร์ PuTTY เพื่อเข้าถึง และจัดการเซิร์ฟเวอร์ และอุปกรณ์เครือข่ายอื่น ๆ ผ่าน SSH จาก Windows-based client (more…)