Yosry Barsoum รองประธาน MITRE ออกมาเตือนว่าเงินทุนของรัฐบาลสหรัฐฯ สำหรับโครงการ Common Vulnerabilities and Exposures (CVE) และ Common Weakness Enumeration (CWE) จะสิ้นสุดลงในวันที่ 16 เมษายน 2025 ซึ่งอาจส่งผลกระทบต่ออุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ทั่วโลก (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยถึงการแก้ไขช่องโหว่ที่ไม่สมบูรณ์ สำหรับช่องโหว่ด้านความปลอดภัยที่เคยได้รับการแก้ไขไปแล้วใน NVIDIA Container Toolkit ซึ่งหากช่องโหว่นี้ถูกโจมตีสำเร็จ อาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยง

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-0132 (คะแนน CVSS: 9.0) ซึ่งเป็นช่องโหว่ประเภท Time-of-Check Time-of-Use (TOCTOU) ที่สามารถนำไปสู่การโจมตีแบบ container escape และสามารถทำผู้โจมตีสามารถเข้าถึงระบบโฮสต์โดยไม่ได้รับอนุญาต

แม้ว่าช่องโหว่นี้จะได้รับการแก้ไขจาก NVIDIA ในเดือนกันยายน 2024 แต่การวิเคราะห์ล่าสุดโดย Trend Micro ได้เปิดเผยว่าแพตช์ที่ออกมายังไม่สมบูรณ์ และยังพบช่องโหว่ด้านประสิทธิภาพที่เกี่ยวข้อง ซึ่งส่งผลกระทบต่อ Docker บนระบบปฏิบัติการ Linux และอาจนำไปสู่สถานการณ์ Denial-of-service (DoS) ได้

นักวิจัยจาก Trend Micro, Abdelrahman Esmail ระบุในรายงานใหม่ที่เผยแพร่ในวันนี้ว่า "ปัญหาดังกล่าวอาจทำให้ผู้โจมตีสามารถ escape container เพื่อเข้าถึงทรัพยากรสำคัญบนโฮสต์ และทำให้เกิดการหยุดชะงักในการดำเนินงานได้"

การที่ช่องโหว่ TOCTOU ยังคงมีอยู่หมายความว่า container ที่ได้รับการสร้างขึ้นอย่างเฉพาะเจาะจง สามารถถูกใช้เพื่อเข้าถึง file system {}ของโฮสต์ และดำเนินการคำสั่งต่าง ๆ ด้วยสิทธิ์ของผู้ดูแลระบบ (root) ช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชัน 1.17.4 หากฟีเจอร์ allow-cuda-compat-libs-from-container ถูกเปิดใช้งานเท่านั้น

Trend Micro ระบุว่า "ช่องโหว่เฉพาะนี้พบในฟังก์ชัน mount_files ซึ่งปัญหาเกิดจากการขาดกลไกการ locking ที่เหมาะสมในระหว่างดำเนินการกับอ็อบเจ็กต์ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ และรันโค้ดตามต้องการภายใต้บริบทของโฮสต์"

อย่างไรก็ตาม การยกระดับสิทธิ์ผ่านช่องโหว่นี้จะสามารถเกิดขึ้นได้ ก็ต่อเมื่อผู้โจมตีมีความสามารถในการรันโค้ดภายในคอนเทนเนอร์อยู่ก่อนแล้ว

ช่องโหว่นี้มีหมายเลข CVE-2025-23359 (คะแนน CVSS: 9.0) ซึ่งก่อนหน้านี้บริษัทด้านความปลอดภัยบนคลาวด์ Wiz ได้แจ้งเตือนว่า ช่องโหว่นี้ยังสามารถใช้เพื่อ bypass การป้องกันของช่องโหว่ CVE-2024-0132 ได้อีกด้วย โดยรายงานดังกล่าวถูกเปิดเผยเมื่อเดือนกุมภาพันธ์ 2025 โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน 1.17.4

บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า ระหว่างการวิเคราะห์ช่องโหว่ CVE-2024-0132 ได้ตรวจพบปัญหาด้านประสิทธิภาพเพิ่มเติม ซึ่งอาจนำไปสู่ช่องโหว่ DoS บนเครื่องโฮสต์ โดยช่องโหว่นี้มีผลกระทบต่อ Docker ที่ใช้งานบนระบบปฏิบัติการ Linux

Esmail อธิบายว่า เมื่อมีการสร้าง container ใหม่พร้อมกำหนดค่าเมาท์หลายรายการที่กำหนดค่าโดยใช้ (bind-propagation=shared) จะมีการสร้างเส้นทาง parent/child หลายรายการ อย่างไรก็ตาม เมื่อ container ถูก terminate รายการเหล่านี้จะไม่ถูกลบออกจาก Linux mount table

ผลลัพธ์คือ mount table จะขยายตัวอย่างรวดเร็ว และไม่สามารถควบคุมได้ ส่งผลให้ทรัพยากร file descriptors (fd) ถูกใช้งานจนหมด ซึ่งนำไปสู่ปัญหาที่ Docker ไม่สามารถสร้าง container ใหม่ได้ นอกจากนี้ mount table ที่มีขนาดใหญ่อย่างมาก ยังส่งผลกระทบต่อประสิทธิภาพของระบบ และอาจทำให้ผู้ใช้ไม่สามารถเชื่อมต่อกับเครื่องโฮสต์ได้ เช่น ผ่าน SSH

เพื่อลดปัญหาดังกล่าว มีคำแนะนำให้ดำเนินมาตรการต่าง ๆ ได้แก่ การตรวจสอบ mount table ของ Linux อย่างสม่ำเสมอเพื่อหาการเพิ่มขึ้นที่ผิดปกติ, จำกัดการเข้าถึง Docker API เฉพาะบุคคลที่ได้รับอนุญาต, บังคับใช้นโยบายควบคุมการเข้าถึงที่เข้มงวด, ดำเนินการตรวจสอบการเชื่อมโยงระหว่างไฟล์ระบบของคอนเทนเนอร์กับโฮสต์, volume mounts และ socket connections

ที่มา : thehackernews

 

Microsoft กำลังทดสอบฟีเจอร์ใหม่ใน Defender for Endpoint ที่สามารถบล็อกการรับส่งข้อมูลระหว่าง undiscovered endpoints เพื่อป้องกันไม่ให้ผู้โจมตีสามารถโจมตีต่อไปภายในเครือข่ายได้

(more…)

Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง

โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม

เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS

GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้

การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก

ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ

ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น

ที่มา : thehackernews

 

 

ช่องโหว่ในฟีเจอร์ Call Filter ของ Verizon ทำให้ลูกค้าสามารถเข้าถึงบันทึกการโทรเข้าของหมายเลข Verizon Wireless อื่น ๆ ได้ ผ่าน API request ที่ไม่ปลอดภัย

ช่องโหว่นี้ถูกพบโดยนักวิจัยด้านความปลอดภัย Evan Connelly เมื่อวันที่ 22 กุมภาพันธ์ 2025 และ Verizon ได้แก้ไขช่องโหว่นี้ในเดือนถัดมา อย่างไรก็ตาม ระยะเวลาที่ช่องโหว่นี้เปิดเผยต่อสาธารณะยังไม่เป็นที่ทราบแน่ชัด

แอปพลิเคชัน Call Filter ของ Verizon เป็นเครื่องมือฟรีที่ช่วยให้ผู้ใช้งานสามารถตรวจจับสแปม และบล็อกสายเรียกเข้าโดยอัตโนมัติ ส่วนเวอร์ชันแบบเสียเงินจะเพิ่มความสามารถในการค้นหาหมายเลขที่เป็นสแปม, มีตัววัดความเสี่ยง, บล็อกสายโทรเข้าตามประเภทของผู้โทร และแสดงหมายเลขโทรเข้าแม้ไม่อยู่ในรายชื่อผู้ติดต่อ

อุปกรณ์ Android และ iOS ที่มีคุณสมบัติตรงตามเงื่อนไขซึ่งซื้อโดยตรงจาก Verizon จะมีแอปพลิเคชันเวอร์ชันฟรีถูกติดตั้งไว้ และเปิดใช้งานเป็นค่าเริ่มต้น และคาดว่ามีการใช้งานบนอุปกรณ์หลายล้านเครื่อง

Connelly เปิดเผยกับ BleepingComputer ว่า เขาทดสอบเฉพาะแอปพลิเคชันบน iOS เท่านั้น อย่างไรก็ตามแอปพลิเคชันบน Android อาจได้รับผลกระทบเช่นกัน เนื่องจากปัญหาอยู่ที่ API ของฟีเจอร์ ไม่ใช่ตัวแอปพลิเคชันโดยตรง

การเปิดเผยประวัติการโทร

ขณะใช้งานแอป Call Filter Connelly พบว่าแอปพลิเคชันเชื่อมต่อกับ API ที่ https://clr-aqx.

แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

จากรายงานล่าสุดพบว่าอุปกรณ์ Clevo หลายรุ่น มีช่องโหว่ที่อาจทำให้เกิดการรั่วไหลของ Private Key ของ Boot Guard ซึ่งเป็นเทคโนโลยีความปลอดภัยของ Intel ที่ใช้ตรวจสอบในระหว่างการบูตระบบ ที่จะมีเพียงเฟิร์มแวร์ที่ได้รับอนุญาตเท่านั้นที่สามารถทำงานได้ เพื่อป้องกันโค้ดที่ไม่ได้รับอนุญาต

ช่องโหว่นี้ถูกเปิดเผยครั้งแรกบนฟอรัม Win-Raid โดยพบว่ามี Private Key ของ Boot Guard Key Manifest (KM) และ Boot Policy Manifest (BPM) ฝังอยู่ในไฟล์ Firmware Update

ซึ่งหาก Private Key นี้รั่วไหล ผู้โจมตีสามารถใช้ Key เหล่านั้นในการ sign เฟิร์มแวร์ที่เป็นอันตราย ซึ่งสามารถผ่านการตรวจสอบความปลอดภัยของ Boot Guard ได้

รายละเอียดการตรวจสอบ

ทีมวิจัยจาก Binarly ซึ่งมีชื่อเสียงในการค้นหาช่องโหว่ในระบบ UEFI ได้รับการแจ้งเตือนเกี่ยวกับช่องโหว่นี้จากโพสต์ในฟอรัม Win-Raid ซึ่งเปิดเผยการพบ Boot Guard key ในการอัปเดตเฟิร์มแวร์ของอุปกรณ์ Clevo ที่มีการฝัง Private Key ไว้

หลังจากการตรวจสอบ ทีมวิจัยยืนยันว่ามี Private Key สองชุดที่ถูกฝังอยู่ในไฟล์ BootGuardKey.

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)