Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)

ช่องโหว่ทั้งหมดในส่วนของ GPU Display Driver ผู้ไม่หวังดีจำเป็นจะต้องเข้ามาถึงเครื่องได้ก่อน (local) จึงจะสามารถทำการโจมตีได้ ซึ่งประกอบด้วย

CVE-2021-1074 (คะแนน 7.5/10): ปัญหาอยู่ในตัว Installer ของ driver รุ่น R390 สำหรับ Windows ผู้ไม่หวังดีที่สามารถเข้ามาถึงเครื่องได้ (local) สามารถแทรกไฟล์อันตรายลงไปแทนที่ไฟล์ปกติ เพื่อใช้รันคำสั่งอันตราย, ยกระดับสิทธิ์, DoS หรือเปิดเผยข้อมูลสำคัญได้
CVE-2021-1075 (คะแนน 7.3/10): ปัญหาอยู่ในส่วน kernel (nvlddmkm.

สืบเนื่องจากเมื่อต้นปีที่ผ่านมา ได้มีการบังคับใช้กฎหมายเพื่อทลายเครือข่ายของมัลแวร์ Emotet ส่งผลให้มีการยึดเครื่องเซิร์ฟเวอร์ที่ถูกใช้ในการกระทำความผิดหลายร้อยเครื่องทั่วโลก ตามมาด้วยการถอนการติดตั้งมัลแวร์บนเครื่องที่ตกเป็นเหยื่อเมื่อวันที่ 25 เมษายนที่ผ่านมา นอกจากจะติดตั้งไฟล์มัลแวร์บนเครื่องเหยื่อแล้ว Emotet ยังมีการขโมยข้อมูลอีเมลที่มีการใช้งานบนเครื่องของเหยื่อด้วย เพื่อนำไปใช้แพร่กระจายมัลแวร์ต่อไป โดยข้อมูลอีเมลส่วนนี้ที่ถูกขโมยมา FBI ได้ทำการแชร์ให้กับ Have I Been Pwned เพื่อให้ผู้ที่สงสัยว่าตนเองตกเป็นเหยื่อหรือไม่ สามารถร้องขอเพื่อทำการตรวจสอบได้

Troy Hunt ซึ่งเป็นผู้สร้างเว็บไซต์ Have I Been Pwned ขึ้นมาระบุว่า 39% ของอีเมลที่ตกเป็นเหยื่อของ Emotet นี้ ถูกพบว่าเคยรั่วไหลมาก่อนหน้านี้แล้ว จากบริการอื่น ๆ ที่ Have I Been Pwned มีข้อมูลอยู่ก่อนแล้ว อย่างไรก็ตามข้อมูลส่วนนี้ถูกจัดอยู่ในกลุ่มของ "Sensitive Breach" ตามรายงานของ Troy Hunt นั่นแสดงว่าข้อมูลดังกล่าวไม่สามารถถูกค้นหาบนหน้าเว็บไซต์ได้อย่างสาธารณะ (Public) ผู้ที่เป็นเจ้าของอีเมล หรือโดเมนขององค์กรเท่านั้นที่จะสามารถร้องขอให้ค้นหาได้ โดยต้องทำการพิสูจน์ตัวตนตามกระบวนการของ Have I Been Pwned ก่อน

อย่างไรก็ตามนอกเหนือจาก Have I Been Pwned แล้ว ยังมีเว็บไซต์ที่ชื่อว่า "Have I Been Emotet" ด้วยที่สามารถถูกใช้เพื่อตรวจสอบว่าอีเมลที่สงสัย เคยถูกใช้โดยมัลแวร์ Emotet หรือไม่ โดยพบว่ามีข้อมูลล่าสุดถึงวันที่ 25 มกราคม 2วันก่อนที่มัลแวร์ Emotet จะถูกปิดตัวลง

ที่มา: bleepingcomputer

ช่องโหว่ CVE-2021-23008 (คะแนน 8.1/10) ส่งผลให้ผู้ไม่หวังดีสามารถข้ามผ่าน (Bypass) กระบวนการพิสูจน์ตัวตน (Authentication) บน Kerberos ไปยัง Big-IP Access Policy Manager (APM) และข้ามผ่านข้อกำหนดความปลอดภัย (Security Policies) ได้

ทั้งนี้ Key Distribution Center (KDC) ทำงานอยู่บนโปรโตคอล Kerberos ซึ่งเป็นโปรโตคอลที่ใช้สำหรับทำหน้าที่พิสูจน์ตัวตน (Authentication) โดยมี KDC ที่ทำงานเปรียบเสมือนเซิร์ฟเวอร์ตัวกลางที่ใช้ในการเก็บ Shared Secret Key และสิทธิ์ของผู้ใช้งานทุกคน จากนั้นจะทำหน้าที่แจกจ่าย Ticket ให้กับผู้ใช้งานที่ถูกต้องไปใช้เข้าถึง service ที่ต้องการ การโจมตีนี้เกิดขึ้นได้จากการที่ผู้ไม่หวังดีส่ง Response (AS-REP: Kerberos Authentication Service Response) ที่ถูกปลอม (Spoofed) ในกระบวนการเชื่อมต่อของ Kerberos Key Distribution Center (KDC) ที่ถูกยึดครองแล้ว หรือจาก AD Server ที่ถูกยึดครองโดยผู้ไม่หวังดีแล้ว หากมีการใช้งานร่วมกับ AD ด้วย

Big-IP APM เวอร์ชันที่ได้รับผลกระทบจะประกอบไปด้วย 11.5.2 - 11.6.5 (ยังไม่มีแพทช์), 12.1.0 - 12.1.5 (อัพเดตเป็น 12.1.6), 13.1.0 - 13.1.3 (อัพเดตเป็น 13.1.4), 14.1.0 - 14.1.3 (อัพเดตเป็น 14.1.4), 15.0.0 - 15.1.2 (อัพเดตเป็น 15.1.3) และ 16.0.0 - 16.0.1 (ยังไม่มีแพทช์) ควรทำการอัพเดตตามเวอร์ชัน หากมีแพทช์แล้ว

ที่มา: thehackernews, support.

สืบเนื่องจาก SHA-1 ไม่มีความปลอดภัยอีกต่อไป และมี .NET หลายเวอร์ชันที่ใช้ Hash Algorithm นี้ในการ Signed จึงถึงเวลาที่จะต้องหยุดใช้งานเวอร์ชันดังกล่าวเนื่องจากคำนึงถึงความปลอดภัย ซึ่งประกอบด้วยเวอร์ชัน 4.5.2, 4.6 และ 4.6.1 และเปลี่ยนไปใช้เป็น SHA-2 แทน โดยเวอร์ชันทั้งหมดนี้จะยังได้รับการอัพเดตจาก Microsoft ต่อไปจนถึงวันที่ 26 เมษายน 2022 หลังจากนั้นจะไม่มีการปล่อยอัพเดตใด ๆ จาก Microsoft ต่อไป ยกเว้นเวอร์ชัน 4.6 ที่มากับ Windows 10 Enterprise LTSC 2015 ที่จะยังได้รับการอัพเดตจนถึงเดือนตุลาคม 2025 ซึ่งเป็นเวลาเดียวกับที่ระบบปฏิบัติการดังกล่าวจะไม่ได้รับการอัพเดตจาก Microsoft อีกต่อไปเช่นเดียวกัน

นักพัฒนาที่มีการใช้งานเวอร์ชันที่ได้รับผลกระทบดังกล่าวควรเปลี่ยนไปใช้เวอร์ชัน 4.6.2 เป็นอย่างน้อย เพื่อจะได้รับการอัพเดตต่อไปหากมีปัญหาในอนาคต ทั้งนี้มีการระบุว่าเวอร์ชัน 4.6.2 (ถูกปล่อยออกมาเมื่อ 5 ปีที่แล้ว) และ 4.8 (ถูกปล่อยออกมาเมื่อ 2 ปีที่แล้ว) ถือว่าเป็นเวอร์ชันที่มีความเสถียรสูง จากข้อมูลที่อ้างอิงว่ามีมากกว่า 100 ล้านเครื่องที่ใช้งานอยู่ โดยระบุว่าการอัพเดตครั้งนี้ นักพัฒนาไม่จำเป็นต้อง recompile หรือ retarget แอพพลิเคชั่นที่พัฒนาใหม่ เพียงแต่แนะนำให้ลองทำการทดสอบบน runtime เวอร์ชันใหม่นี้ก่อน หากแอพพลิเคชั่นดังกล่าวได้รับการ deploy ไปแล้ว

ที่มา: bleepingcomputer

กลุ่ม REvil ได้ทำการลบข้อมูลแผนผังส่วนประกอบ (Schematic) ของอุปกรณ์ Apple ที่ถูกเปิดเผยเพื่อเรียกค่าไถ่บนเว็บไซต์ใต้ดินของตนเอง หลังจากที่มีรายงานว่าได้ทำการคุยตกลงส่วนตัวกับบริษัท "Quanta" ซึ่งเป็นบริษัทสัญชาติไต้หวันที่ช่วยผลิต Apple Watch, Macbook Air และ Macbook Pro เหยื่อของการรั่วไหลข้อมูลในครั้งนี้ ก่อนหน้านี้กลุ่มนี้ได้มีการเรียกค่าไถ่เป็นจำนวน 50 ล้านเหรียญเพื่อแลกกับการปกปิดข้อมูล แต่เมื่อไม่มีการตอบรับจากเหยื่อจึงได้ทำการเผยแพร่ข้อมูลดังกล่าวบนเว็บไซต์ใต้ดินของตนเอง นอกจากนี้ยังได้มีการแจ้งเตือนไปยัง Apple ให้ทำการซื้อข้อมูลดังกล่าวกลับไปก่อนวันที่ 1 พฤษภาคมที่จะถึง หากไม่จะทำการเปิดเผยข้อมูลเพิ่มเติม

การลบข้อมูลในหน้าเว็บไซต์ครั้งนี้ ประกอบด้วยข้อมูลแผนผังส่วนประกอบ (Schematic) และแบบร่าง (Drawing) ของอุปกรณ์ Apple จากรายงานระบุว่ากลุ่มเรียกค่าไถ่ และบริษัท Quanta ที่เป็นเหยื่อได้มีการคุยแชทส่วนตัวกัน โดยกลุ่มเรียกค่าไถ่ได้มีการแจ้งว่าจะทำการซ่อนข้อมูลดังกล่าวบนเว็บไซต์ และหยุดให้ข้อมูลกับสื่อ (reporters) ไปก่อน เพื่อให้การเจรจาสามารถดำเนินการต่อไปได้ และหากยอมเจรจาด้วยก่อนวันที่ 7 พฤษภาคม จะทำการลดค่าไถ่ให้เหลือเพียง 20 ล้านเหรียญ แต่ถ้าหากไม่มีการตอบสนองกลับมา จะทำการเปิดเผยข้อมูลใหม่ ที่ถูกระบุว่าจะเป็นแบบร่าง (Drawing) ของ iPad ตัวใหม่ และ Logo ใหม่ของ Apple

ที่มา: bleepingcomputer

SAP และ Onapsis บริษัทรักษาความปลอดภัยทางด้านคลาวด์ได้ออกเเจ้งเตือนลูกค้า SAP ให้รีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดหลังพบกลุ่มผู้ประสงค์ร้ายพยายามใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบอย่างต่อเนื่อง

ข้อมูลภัยคุกคามที่รวบรวมและเผยแพร่โดย Onapsis ร่วมกับ SAP ได้ระบุว่าตั้งแต่กลางปี ​​2020 ผู้เชี่ยวชาญด้านความปลอดภัยจาก Onapsis ได้พบเห็นกลุ่มผู้ประสงค์ร้ายพยายามโจมตีช่องโหว่ในแอปพลิเคชัน SAP ที่ไม่ได้รับการแพตช์ความปลอดภัยกว่า 1,500 ครั้ง จาก 20 ประเทศทั่วโลก โดยมีจำนวนที่ทำการโจมตีประสบความสำเร็จอยู่ที่ 300 ครั้ง

ตามรายงานระบุอีกว่าการโจมตีเหล่านี้ได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหลายรายการในแอปพลิเคชัน SAP ประกอบด้วยช่องโหว่ดังนี้

ช่องโหว่ CVE-2020-6284 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2020-6207 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถเข้ายึดระบบ SAP ที่มีช่องโหว่ได้จากระยะไกล
ช่องโหว่ CVE-2018-2380 เป็นช่องโหว่การยกระดับสิทธิ์และ Execute คำสั่งบนระบบปฏิบัติการเพื่อเข้าถึงฐานข้อมูลและระบบเครือข่ายภายใน (Lateral movement)
ช่องโหว่ CVE-2016-95 เป็นช่องโหว่ Denial-of-Service (DoS) และเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2016-3976 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถยกระดับสิทธิ์และเข้าอ่านไฟล์ผ่านทาง Directory Traversal ซึ่งนำไปสู่การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต
ช่องโหว่ CVE-2010-5326 เป็นช่องโหว่การตรวจสอบสิทธิ์ โดยผู้โจมตีที่ไม่ผ่านการพิสูจน์ตัวตนสามารถ Execute คำสั่งบนระบบปฏิบัติและเข้าถึงแอปพลิเคชันที่เชื่อมต่อกับฐานข้อมูล ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุม SAP Business Information และโปรเซสได้อย่างสมบูรณ์

ทั้งนี้ลูกค้าและผู้ดูแลระบบ SAP ควรทำการอัปเดตเเพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

VMware ออกแพตช์แก้ไขช่องโหว่ที่สำคัญ 2 รายการในแพลตฟอร์ม IT operations management อย่าง vRealize Operations ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถขโมยข้อมูล Administrative credentials ได้ โดยทั้ง 2 ช่องโหว่ถูกค้นพบโดย Egor Dimitrenko จาก Positive Technologies

ช่องโหว่เเรกเป็น CVE-2021-21975 มีคะแนนความรุนเเรงอยู่ที่ CVSS 8.6/10 โดยช่องโหว่ถูกพบใน vRealize Operations Manager API ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถใช้เทคนิค Server-side request forgery (SSRF) เพื่อเข้าถึงการทำงานของเซิร์ฟเวอร์หรือเข้าถึงการจัดการข้อมูลที่ผู้โจมตีจะไม่สามารถเข้าถึงได้โดยตรงจากระยะไกล

ช่องโหว่ที่สองเป็น CVE-2021-21983 มีคะแนนความรุนเเรงอยู่ที่ CVSSv3 7.2/10 เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่การเขียนไฟล์โดยไม่ได้รับอนุญาตใน VROps Manager API ที่สามารถใช้เพื่อเขียนไฟล์ไปยังระบบปฏิบัติการได้

ทั้งนี้ช่องโหว่ทั้ง 2 รายการ ผู้โจมตีจะต้องมี administrative credentials ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตาม VMware ได้ออกเเพตช์สำหรับแก้ไขช่องโหว่ทั้ง 2 แล้วใน vROps Manager เวอร์ชัน 7.5.0 ถึง 8.3.0 ผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันดังกล่าวเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: databreachtoday