CISA ประกาศข้อบังคับให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัย Microsoft 365 Tenants

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์ (more…)

Adobe แจ้งเตือนช่องโหว่สำคัญใน ColdFusion ที่ถูกปล่อย PoC exploit code ออกมาแล้ว

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่สำคัญของ ColdFusion ที่อาจถูกโจมตีเนื่องจาก Proof-of-concept (PoC) exploit code ที่ถูกปล่อยออกมา (more…)

CISA เพิ่มช่องโหว่ของ Acclaim USAHERDS ลงใน KEV Catalog ท่ามกลางการโจมตีที่กำลังเกิดขึ้น

เมื่อวันจันทร์ที่ผ่านมา CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูง (High-Severity) ที่ได้รับการแก้ไขแล้ว ซึ่งส่งผลกระทบต่อ Acclaim Systems USAHERDS ลงใน Known Exploited Vulnerabilities (KEV) Catalog โดยอ้างอิงจากหลักฐานการโจมตีที่เกิด (more…)

นักวิจัยพบแพ็คเกจ PyPI ที่สามารถขโมยข้อมูล Keystrokes และ Hijacking บัญชีโซเชียลมีเดียได้

ตามรายงานล่าสุดจาก Fortinet FortiGuard Labs นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ตรวจพบแพ็กเกจที่เป็นอันตราย 2 รายการที่ถูกอัปโหลดไปยัง Python Package Index (PyPI) repository โดยแพ็กเกจเหล่านี้มีความสามารถในการขโมยข้อมูลที่มีความสำคัญจากเครื่อง (more…)

แคมเปญ Phishing ที่ใช้ HubSpot โจมตีไปยังบัญชี Azure กว่า 20,000 รายการ

พบแคมเปญ Phishing ที่มุ่งเป้าหมายการโจมตีไปยังบริษัทผู้ผลิตยานยนต์ เคมีภัณฑ์ และอุตสาหกรรมในเยอรมนี และสหราชอาณาจักร โดยใช้ HubSpot เพื่อขโมย credentials ของบัญชี Microsoft Azure

โดยกลุ่ม Hacker ได้ใช้ลิงก์ HubSpot Free Form Builder และ PDF ที่เลียนแบบ DocuSign เพื่อเปลี่ยนเส้นทางของเหยื่อไปยังเว็บไซต์ Phishing เพื่อขโมยข้อมูล credentials

ตามรายงานของทีมนักวิจัย Unit 42 ของ Palo Alto Networks พบแคมเปญ Phishing ดังกล่าวมาตั้งแต่เดือนมิถุนายน 2024 และยังคงดำเนินการอยู่จนถึงเดือนกันยายน 2024 ซึ่งขโมย Azure account ไปแล้วประมาณ 20,000 บัญชี

ใช้ HubSpot เพื่อรวบรวมข้อมูล Credentials
**

HubSpot เป็นแพลตฟอร์มการจัดการลูกค้าสัมพันธ์ (CRM) ซึ่งถูกใช้ในระบบการตลาดอัตโนมัติ, การขาย, การบริการลูกค้า, การวิเคราะห์ และการสร้างเว็บไซต์ และ landing pages
**

Form Builder เป็นฟีเจอร์ที่ช่วยให้ผู้ใช้สามารถสร้างแบบฟอร์มออนไลน์ที่กำหนดเองเพื่อรวบรวมข้อมูลจากผู้เยี่ยมชมเว็บไซต์

นักวิจัย Unit 42 พบว่า Hacker ได้ใช้ HubSpot Form Builder เพื่อสร้างแบบฟอร์มหลอกลวงอย่างน้อย 17 แบบ เพื่อล่อลวงเหยื่อให้กรอกข้อมูล credentials ที่มีความสำคัญในโดเมน '.buzz' ซึ่งเลียนแบบหน้าเข้าสู่ระบบของ Microsoft Outlook Web App และ Azure

รวมถึง Hacker ยังใช้เว็บไซต์ที่เลียนแบบระบบการจัดการเอกสารของ DocuSign สำนักงานรับรองเอกสารของฝรั่งเศส และพอร์ทัลการเข้าสู่ระบบเฉพาะองค์กรในการโจมตีด้วย

โดยต่อมาเหยื่อจะถูกส่งต่อไปยังหน้าเว็บไซต์เหล่านั้นโดย phishing messages ที่มีโลโก้ DocuSign ซึ่งมี links ไปยัง HubSpot โดยเป็น PDF ที่แนบมา หรือ HTML ที่ฝังไว้ในเมล์

เนื่องจากอีเมลทั่วไปมองว่าการแนบ links ไปยัง HubSpot ไม่เป็นอันตราย จึงทำให้ email security tools จะไม่ระบุว่า links เหล่านั้น มีแนวโน้มที่จะเป็น Phishing Email ทำให้จะสามารถเข้าถึงกล่องจดหมายของเป้าหมายได้มากกว่า เนื่องจากไม่ผ่านการตรวจสอบจาก Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) และ Domain-based Message Authentication, Reporting, และ Conformance (DMARC)

สิ่งที่เกิดขึ้นหลังการโจมตีสำเร็จ

นักวิจัย Unit 42 พบว่าหลังจากโจมตีด้วย Phishing Campaign สำเร็จ Hacker จะใช้ VPN เพื่อทำให้ดูเหมือนว่าตั้งอยู่ในประเทศขององค์กรที่ตกเป็นเหยื่อ และหากฝ่ายไอทีพยายามกลับมาควบคุมบัญชีดังกล่าว Hacker ก็จะเริ่มต้นการรีเซ็ตรหัสผ่านทันทีเพื่อพยายามที่จะเข้าควบคุมบัญชีอีกครั้ง

โดยทั้งนี้แม้ว่าเซิร์ฟเวอร์ส่วนใหญ่ที่ทำหน้าที่เป็น backbone ของแคมเปญ Phishing จะออฟไลน์ไปนานแล้ว แต่การดำเนินการดังกล่าวก็ยังนับว่าเป็นตัวอย่างของการโจมตีของแคมเปญที่พบ เนื่องจาก Hacker พยายามจะค้นหาช่องทางใหม่ ๆ เพื่อหลีกเลี่ยงเครื่องมือด้านความปลอดภัยอยู่เสมอ

ที่มา : bleepingcomputer

 

 

 

 

ช่องโหว่ Apache Tomcat CVE-2024-56337 ทำให้เซิร์ฟเวอร์เสี่ยงต่อการถูกโจมตีแบบ RCE

Apache Software Foundation (ASF) ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical ในซอฟต์แวร์ Tomcat Server ที่อาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ภายใต้เงื่อนไขบางอย่าง

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-56337 ถูกระบุว่าเป็นการแก้ไขปัญหาที่ไม่สมบูรณ์ของช่องโหว่ CVE-2024-50379 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ด้านความปลอดภัยระดับ Critical อีกช่องโหว่หนึ่งในผลิตภัณฑ์เดียวกัน และเคยได้รับการแก้ไขไปแล้วเมื่อวันที่ 17 ธันวาคม 2024

นักพัฒนาได้ระบุในคำแนะนำเมื่อสัปดาห์ที่แล้วว่า "ผู้ใช้ที่ใช้งาน Tomcat บนระบบไฟล์ที่ไม่คำนึงถึงตัวพิมพ์เล็ก-ใหญ่ (case insensitive) และเปิดใช้งานการเขียน default servlet (ตั้งค่าพารามิเตอร์ readonly เริ่มต้นเป็นค่า false ซึ่งไม่ใช่ค่าเริ่มต้น) อาจจำเป็นต้องตั้งค่าเพิ่มเติม เพื่อแก้ไขช่องโหว่ CVE-2024-50379 ให้สมบูรณ์ แต่ก็ขึ้นอยู่กับเวอร์ชั่นของ Java ที่ใช้งานร่วมกับ Tomcat ด้วย"

ช่องโหว่ทั้งสองรายการเป็นช่องโหว่แบบ Time-of-check Time-of-use (TOCTOU) ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดบนระบบไฟล์ที่ไม่แยกความแตกต่างระหว่างตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ เมื่อมีการเปิดใช้งาน default servlet สำหรับการเขียน

Apache ระบุไว้ในการแจ้งเตือนสำหรับ CVE-2024-50379 "การอ่าน และการอัปโหลดพร้อมกันภายใต้โหลดของไฟล์เดียวกัน สามารถหลีกเลี่ยงการตรวจสอบความแตกต่างของตัวอักษรพิมพ์เล็ก-พิมพ์ใหญ่ของ Tomcat และทำให้ไฟล์ที่อัปโหลดถูกมองว่าเป็น JSP ซึ่งจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้"

CVE-2024-56337 ส่งผลกระทบต่อ Apache Tomcat ตามเวอร์ชันต่อไปนี้

Apache Tomcat 11.0.0-M1 ถึง 11.0.1 (แก้ไขแล้วในเวอร์ชั่น 11.0.2 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 10.1.0-M1 ถึง 10.1.33 (แก้ไขแล้วในเวอร์ชั่น 10.1.34 หรือเวอร์ชันใหม่กว่า)
Apache Tomcat 9.0.0.M1 ถึง 9.0.97 (แก้ไขแล้วในเวอร์ชั่น 9.0.98 หรือเวอร์ชันใหม่กว่า)

นอกจากนี้ ผู้ใช้งานจำเป็นต้องดำเนินการเปลี่ยนแปลงการตั้งค่าต่อไปนี้ ขึ้นอยู่กับเวอร์ชันของ Java ที่กำลังใช้งาน

Java 8 หรือ Java 11: กำหนดค่า system property sun.

ข้อมูลด้านสุขภาพ ConnectOnCall ของผู้ป่วยกว่า 910,000 รายรั่วไหลจากการถูกโจมตี

Phreesia บริษัทผู้ให้บริการซอร์ฟแวร์ด้านการดูแลสุขภาพ (SaaS) ได้ออกมาแจ้งเตือนผู้เสียหายกว่า 910,000 ราย จากเหตุการณ์ข้อมูลส่วนบุคคล และข้อมูลสุขภาพรั่วไหล จากการที่บริษัทในเครือ ConnectOnCall ถูกโจมตีในเดือนพฤษภาคมที่ผ่านมา ซึ่งเป็นบริษัทที่ acquired มาตั้งแต่เดือนตุลาคม ปี 2023

ConnectOnCall คือ แพลตฟอร์มที่ให้บริการด้านการดูแลสุขภาพแบบทางไกล (Telehealth) โดยสามารถตอบรับสายนอกเวลาทำการพร้อมทั้งติดตามการโทรของผู้ป่วยแบบอัตโนมัติ ซึ่งเป็นบริการสำหรับผู้ให้บริการด้านการดูแลสุขภาพ

ทางบริษัทระบุว่า “เมื่อวันที่ 12 พฤษภาคม 2024, ConnectOnCall รับทราบถึงปัญหาที่ส่งผลกระทบต่อ ConnectOncall และเริ่มดำเนินการตรวจสอบทันที รวมถึงดำเนินการในส่วนที่จำเป็นสำหรับการรักษาความปลอดภัยของผลิตภัณฑ์ และรับรองความปลอดภัยโดยรวมของบริษัท”

“การสอบสวนโดย ConnectOnCall มีการเปิดเผยว่า ในช่วงระหว่างวันที่ 16 กุมภาพันธ์ 2024 และ 12 พฤษภาคม 2024 มีกลุ่มผู้ไม่หวังดีสามารถเข้าถึง ConnectOnCall และ ข้อมูลบางส่วนในแอปพลิเคชันได้ ซึ่งรวมไปถึงข้อมูลเฉพาะที่จำเป็นในการให้บริการการสื่อสารระหว่างผู้ป่วย และผู้ให้บริการ”

ภายหลังจากการค้นพบการรั่วไหลของข้อมูล ทาง Phreesia ได้แจ้งไปยังหน่วยงานบังคับใช้กฏหมายของรัฐฯ เกี่ยวกับเหตุการณ์ความเสียหายที่เกิดขึ้น รวมทั้งดำเนินการจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อตรวจสอบลักษณะ และผลกระทบจากเหตุการณ์ดังกล่าว

Phreesia ได้หยุดให้บริการ ConnectOnCall ชั่วคราวโดยปรับเป็นแบบออฟไลน์ รวมทั้งดำเนินการกู้คืนระบบพร้อม ๆ กันกับสร้างสภาพแวดล้อมใหม่ให้ระบบที่จะกู้คืนมาได้ปลอดภัยมากยิ่งขึ้น

ถึงแม้ว่าคำแถลงการณ์ดังกล่าวจะไม่ได้ระบุถึงจำนวนผู้ที่ได้รับผลกระทบ โดยทาง ConnectOnCall ได้แจ้งกับทางกระทรวงสาธารณสุข และบริการมนุษย์ของสหรัฐอเมริกา (U.S. Department of Health and Human Services) ถึงเหตุการณ์ข้อมูลถูกละเมิด ที่ส่งผลกระทบต่อข้อมูลสุขภาพที่ได้รับการคุ้มครองของผู้ป่วยกว่า 914,138 ราย ดังรูป

ข้อมูลส่วนบุคคลที่ถูกเปิดเผยในช่วงสามเดือนที่ข้อมูลถูกละเมิดนั้น เป็นข้อมูลการสื่อสารระหว่างผู้ป่วยหลายราย และผู้ให้บริการทางการแพทย์หลายเจ้า เช่น ชื่อ, เบอร์โทรศัพท์

นอกจากนี้ยังอาจรวมถึงหมายเลขเวชระเบียน, วันเดือนปีเกิด รวมถึงข้อมูลที่เกี่ยวข้องกับสภาวะสุขภาพ, การรักษา หรือใบสั่งยา และในบางกรณียังรวมไปถึงเลขประกันสังคม (Social Security Numbers) ของผู้ป่วยที่ได้รับผลกระทบอีกด้วย

Phreesia ได้ระบุในคำแถลงการณ์บนเว็บไซต์อย่างเป็นทางการว่า “บริการ ConnectOnCall ถูกแยกออกจากบริการอื่น ๆ ของ Phreesia อยู่แล้ว ซึ่งรวมไปถึงการแยกข้อมูลของผู้ป่วยที่นำเข้ามาในแพลตฟอร์มเช่นกัน โดยอ้างอิงจากการตรวจสอบจนถึงปัจจุบัน พบว่าไม่มีหลักฐานใดที่บ่งบอกว่าระบบบริการอื่น ๆ ของบริษัทได้รับผลกระทบจากเหตุการณ์ดังกล่าว”

“บริษัทเข้าใจถึงความสำคัญของบริการนี้ต่อธุรกิจของลูกค้า และกำลังพยายามดำเนินการกู้คืนระบบบริการ ConnectOncall เพื่อให้สามารถกลับมาให้บริการได้อย่างรวดเร็วที่สุดเท่าที่จะเป็นไปได้ ”

นอกจากนี้ทาง Phreesia ยังได้ให้คำแนะนำกับบุคคลที่อาจได้รับผลกระทบจากการโจรกรรมข้อมูลส่วนบุคคล หรือการแอบอ้าง, การฉ้อโกงต่อบริษัทประกันภัย, แผนประกันสุขภาพ หรือสถาบันทางการเงินของตนเอง ถึงแม้ว่าทางบริษัทจะยังไม่พบหลักฐานที่บ่งชี้ว่ามีการนำข้อมูลที่โจรกรรมได้ออกไปนั้นไปใช้งานในทางที่ผิดก็ตาม

ที่มา : bleepingcomputer.

Krispy Kreme ประสบกับปัญหาการถูกละเมิดข้อมูล

เมื่อวันที่ 11 ธันวาคม ยักษ์ใหญ่ในวงการขนมหวานอย่าง Krispy Kreme เปิดเผยว่า บริษัทกำลังประสบปัญหาการถูกละเมิดข้อมูลในเครือข่าย

Krispy Kreme ระบุว่า "การดำเนินงานทั่วไปไม่ได้รับผลกระทบจากการถูกละเมิดข้อมูล แต่บริษัทยังต้องเปิดเผยเหตุการณ์ดังกล่าวต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ของสหรัฐฯ ในการยื่นเอกสารตามข้อกำหนด"

Krispy Kreme ระบุในเอกสารที่ยื่นเพื่อสร้างความมั่นใจว่า "ร้าน Krispy Kreme ทั่วโลกเปิดให้บริการตามปกติ และลูกค้าสามารถสั่งซื้อสินค้าได้ที่หน้าร้าน แต่บริษัทกำลังประสบปัญหาการดำเนินงานบางอย่าง รวมถึงการสั่งซื้อออนไลน์ในบางส่วนของสหรัฐฯ"

"การส่งสินค้าใหม่ทุกวันไปยังพันธมิตรร้านค้าปลีก และร้านอาหารของเราไม่ได้หยุดชะงัก"

Krispy Kreme ไม่ได้ให้รายละเอียดเกี่ยวกับลักษณะของการละเมิดข้อมูล และระบุว่ากำลังดำเนินการสอบสวนเหตุการณ์ดังกล่าว

แม้ว่าการละเมิดข้อมูลที่ร้านโดนัทอาจดูเหมือนไม่ใช่เรื่องใหญ่ แต่ก็ยังมีเหตุผลที่ผู้บริโภคควรกังวลเกี่ยวกับเรื่องต่าง ๆ เนื่องจาก Krispy Kreme มีการดำเนินการจัดการข้อมูลบัตรชำระเงิน ทำให้อาจมีบัตรเครดิตของบริษัทหลายใบที่เก็บอยู่ในฐานข้อมูลของพวกเขา

Krispy Kreme ระบุต่อ SEC ว่า "บริษัทพร้อมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก ยังคงทำงานอย่างหนักเพื่อตอบสนอง และลดผลกระทบจากเหตุการณ์นี้ รวมถึงการฟื้นฟูระบบการสั่งซื้อออนไลน์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลางแล้ว"

"เนื่องจากการสอบสวนเหตุการณ์ยังคงดำเนินอยู่ ขอบเขต, ลักษณะ และผลกระทบของเหตุการณ์ยังไม่ได้รับการเปิดเผย"

ปัจจุบันบริษัทยังไม่ได้ให้ข้อมูลว่าใครเป็นกลุ่มผู้โจมตี หรือแรงจูงใจของการโจมตีคืออะไร

Trey Ford CISO จาก Bugcrowd ระบุว่า ไม่มีความเสี่ยงที่สำคัญในการเปิดเผยข้อมูลส่วนตัว เนื่องจากบริษัทได้ดำเนินการตามขั้นตอนที่เหมาะสมในการแยกข้อมูลบัตรชำระเงินออกจากระบบปกติ

โดย Ford ระบุว่า "มีการแยกระบบระหว่างแพลตฟอร์มการสั่งซื้อออนไลน์ และแพลตฟอร์มการจัดการร้าน รวมถึงลูกค้ายังสามารถไปเยี่ยมชมหน้าร้านจริงเพื่อซื้อโดนัท และกาแฟได้แม้ว่าอาจจะต้องรอเพิ่มอีกนิดหน่อยก็ตาม"

Krispy Kreme ระบุว่า บริษัทได้ปรึกษากับผู้ให้บริการประกันภัยทางไซเบอร์แล้ว และไม่คาดว่าเหตุการณ์นี้จะมีผลกระทบต่อผลประกอบการของบริษัท

ที่มา : https://www.

พบมัลแวร์ Rootkit ตัวใหม่ ‘Pumakit’ ซ่อนตัวอยู่บนระบบ Linux

พบมัลแวร์ rootkit ตัวใหม่บนระบบ Linux ชื่อ 'Pumakit' ซึ่งใช้เทคนิคการซ่อนตัว และการยกระดับสิทธิ์ขั้นสูงเพื่อปกปิดการมีอยู่ในระบบ

มัลแวร์ดังกล่าวเป็นชุดซอฟต์แวร์หลายส่วน ประกอบไปด้วย Dropper, ไฟล์ปฏิบัติการที่ทำงานในหน่วยความจำ, kernel module rootkit และ shared object (SO) userland rootkit

Pumakit ถูกพบโดย Elastic Security ในไฟล์ไบนารีชื่อ 'cron' ที่ถูกอัปโหลดไว้บน VirusTotal เมื่อวันที่ 4 กันยายน 2024 โดยทางทีมงานได้ระบุว่า ยังไม่ทราบอย่างแน่ชัดว่าใครเป็นผู้ใช้งาน หรือเป้าหมายของมัลแวร์คืออะไร

โดยปกติ เครื่องมือเหล่านี้จะถูกใช้โดยผู้ไม่หวังดีที่มีความเชี่ยวชาญสูง ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ และระบบขององค์กร เพื่อขโมยข้อมูล, ข้อมูลทางการเงิน และก่อให้เกิดการหยุดชะงักของระบบ

The Pumakit

Pumakit ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจาก dropper ที่ชื่อ 'cron' ซึ่งจะดำเนินการดาวน์โหลดเพย์โหลดที่ฝังอยู่ใน ('/memfd:tgt' และ '/memfd:wpn') ทั้งหมดจากหน่วยความจำ

เพย์โหลด '/memfd:wpn' ทำงานใน child process โดยจะดำเนินการตรวจสอบสภาพแวดล้อม และแก้ไข kernel image ก่อนที่จะติดตั้งโมดูล LKM rootkit ('puma.

Citrix เผยแพร่วิธีป้องกันการโจมตีแบบ Password Spray Attack ที่เกิดขึ้นกับ Netscaler

Citrix Netscaler ได้กลายเป็นเป้าหมายล่าสุดของการโจมตีในรูปแบบ Password Spray ในปีนี้ โดยมุ่งเป้าไปที่อุปกรณ์ edge networking และ cloud platform เพื่อโจมตีเครือข่ายขององค์กร

ในเดือนมีนาคม 2024 ทาง Cisco รายงานว่าพบ Hacker กำลังทำการโจมตีแบบ Password Spray บนอุปกรณ์ VPN ของ Cisco ซึ่งบางครั้งการโจมตีดังกล่าวทำให้เกิด Denial-of-Service ทำให้ Cisco ค้นพบช่องโหว่ DDoS ซึ่งได้ทำการแก้ไขไปแล้วในเดือนตุลาคม 2024

ในเดือนตุลาคม 2024 ทาง Microsoft ได้แจ้งเตือนว่า Quad7 Botnet กำลังมุ่งเป้าโจมตีอุปกรณ์เครือข่าย เช่น TP-Link, Asus, Ruckus, Axentra และ Zyxel เพื่อโจมตีแบบ Password Spray ผ่าน cloud services

รวมถึงหน่วยงานความปลอดภัยทางไซเบอร์ของเยอรมนี (BSI) ได้แจ้งเตือนถึงรายงานจำนวนมากที่ระบุว่าอุปกรณ์ Citrix Netscaler ตกเป็นเป้าหมายของการโจมตีด้วยวิธีการ Password Spray ในลักษณะที่คล้ายกัน เพื่อขโมยข้อมูล login credentials เพื่อเข้าสู่เครือข่าย

ข่าวการโจมตี Citrix Netscaler ดังกล่าวได้รับการรายงานครั้งแรกโดย Born City เมื่อสัปดาห์ที่แล้ว โดยผู้ใช้งานระบุว่าพวกเขาเริ่มประสบกับการโจมตีแบบบ Brute Force Attacks บนอุปกรณ์ Citrix Netscaler ของพวกเขามาตั้งแต่เดือนพฤศจิกายน 2024 และต่อเนื่องถึงเดือนธันวาคม 2024

ผู้ใช้งานบางรายระบุว่า ได้ถูกโจมตีเพื่อเข้าถึงข้อมูล account credentials โดยใช้ชื่อผู้ใช้ทั่วไปหลากหลายประเภทระหว่าง 20,000 ถึง 1 ล้านครั้ง โดยมีรายละเอียดดังนี้:

test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales

รวมไปถึง การโจมตีแบบ Password Spray ได้แก่ ชื่อ, ชื่อ-นามสกุล และที่อยู่อีเมล

Citrix ออกคำแนะนำการป้องกัน

Citrix ได้ออกเอกสารแจ้งเตือนด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิธีการ Password Spray ที่กำลังเพิ่มมากขึ้นในอุปกรณ์ Netscaler และได้ให้แนวทางแก้ไขเกี่ยวกับวิธีลดผลกระทบจากการโจมตีดังกล่าว

Citrix ระบุว่าการโจมตีด้วยวิธีการ Password Spray นั้นมีต้นทางจาก IP addresses ที่หลากหลาย ทำให้ยากต่อการบล็อก IP หรือการทำ rate limiting รวมถึงการพยายาม authentication จำนวนมากที่เกิดขึ้นอย่างกะทันหันอาจทำให้อุปกรณ์ Citrix Netscaler ที่กำหนดค่าไว้ให้ใช้ normal login volume เกิดการบันทึกข้อมูล log ที่มากขึ้น และทำให้ไม่สามารถใช้อุปกรณ์ได้ หรือมีปัญหาด้านประสิทธิภาพการทำงาน

ทั้งนี้การโจมตีที่ถูกพบ authentication requests จะมุ่งเป้าไปที่ pre-nFactor endpoints ซึ่งเป็น historical authentication URL ที่ใช้เพื่อความเข้ากันได้กับ legacy configurations

Citrix ได้เผยแพร่แนวทางลดผลกระทบจากการโจมตี ได้แก่:

เปิดใช้งาน multi-factor authentication (MFA) ก่อน LDAP factor
เนื่องจากการโจมตีมุ่งเป้าไปที่ IP addresses ทาง Citrix แนะนำให้สร้าง Policy เพื่อให้ authentication requests ถูกยกเลิก ยกเว้นจะพยายาม authentication กับชื่อโดเมนที่ระบุไว้
บล็อก Netscaler endpoints ที่เกี่ยวข้องกับ pre-nFactor authentication requests เว้นแต่จะจำเป็นต้องใช้สำหรับ environment ขององค์กร
ใช้ Web application firewall (WAF) เพื่อบล็อกที่ IP addresses ที่มีความเสี่ยง ที่เกิดจากพฤติกรรมอันตรายก่อนหน้า
Citrix ระบุว่าลูกค้าที่ใช้บริการ Gateway ไม่จำเป็นต้องใช้แนวทางลดผลกระทบเหล่านี้ เนื่องจากแนวทางเหล่านี้ใช้กับอุปกรณ์ NetScaler/NetScaler Gateway ที่ติดตั้งภายใน On premise หรือ On cloud เท่านั้น ซึ่งจะส่งผลกระทบเฉพาะ NetScaler firmware versions ที่สูงกว่า หรือเท่ากับ 13.0 เท่านั้น

สามารถตรวจสอบคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้แนวทางลดผลกระทบเหล่านี้ได้ใน Citrix advisory

ที่มา : bleepingcomputer