ผู้โจมตีเริ่มมุ่งเป้าไปที่การใช้งาน Cisco Smart Licensing Utility (CSLU) ที่ไม่ได้รับการอัปเดตแพตช์จากช่องโหว่ที่ส่งผลให้มีการเปิดเผยบัญชีผู้ดูแลระบบที่เป็นลักษณะ backdoor

แอปพลิเคชัน CSLU สำหรับ Windows ช่วยให้ผู้ดูแลระบบสามารถจัดการ licenses และผลิตภัณฑ์ที่เชื่อมโยงภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager บน Cloud ของ Cisco

Cisco ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ (CVE-2024-20439) ในเดือนกันยายน โดยอธิบายว่าเป็นช่องโหว่ที่เกิดจาก "ข้อมูล credential ของบัญชีผู้ใช้ระดับผู้ดูแลระบบแบบ static ที่ไม่ได้ถูกบันทึกไว้" ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยัน สามารถเข้าสู่ระบบที่ยังไม่ได้รับการอัปเดตแพตช์จากระยะไกลด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน CSLU

บริษัทยังได้แก้ไขช่องโหว่การเปิดเผยข้อมูล CSLU ระดับ Critical อีกหนึ่งรายการ (CVE-2024-20440) ซึ่งผู้โจมตีที่ไม่ได้ผ่านการยืนยันสามารถใช้เพื่อเข้าถึง log files ที่มีข้อมูลที่มีความสำคัญ (รวมถึงข้อมูล API credentials) โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบกับระบบที่ใช้งานเวอร์ชัน Cisco Smart Licensing Utility ที่มีช่องโหว่เท่านั้น และสามารถถูกโจมตีได้เฉพาะเมื่อผู้ใช้งานเปิดใช้งานแอปพลิเคชัน CSLU ซึ่งไม่ได้ออกแบบให้ทำงานใน background โดยค่าเริ่มต้น

Nicholas Starke นักวิจัยด้านภัยคุกคามจาก Aruba ได้ทำ reverse-engineered กับช่องโหว่นี้ และเผยแพร่บทความที่มีรายละเอียดทางเทคนิค (รวมถึงรหัสผ่าน static ที่ถูกเข้ารหัส) ประมาณสองสัปดาห์หลังจากที่ Cisco ปล่อยแพตช์ความปลอดภัย

เป้าหมายในการโจมตี

Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบันเทคโนโลยี SANS รายงานว่า กลุ่มผู้โจมตีกำลังเชื่อมโยงช่องโหว่ทั้งสองรายการในความพยายามโจมตีที่มุ่งเป้าไปที่การใช้งาน CSLU ที่เปิดเผยอยู่บนอินเทอร์เน็ต

Ullrich ระบุว่า "การค้นหาคร่าว ๆ ไม่พบการใช้ช่องโหว่ในการโจมตี (ในขณะนั้น) แต่รายละเอียดต่าง ๆ รวมถึงข้อมูล backdoor credentials ถูกเผยแพร่ในบล็อกของ Nicholas Starke หลังจาก Cisco ออกคำแนะนำด้านความปลอดภัย ดังนั้นจึงไม่น่าแปลกใจที่อาจจะเห็นพฤติกรรมการโจมตีหลังจากนี้"

แม้ว่าจะยังไม่ทราบเป้าหมายของการโจมตีด้วยช่องโหว่เหล่านี้ แต่กลุ่มผู้โจมตียังพยายามใช้ประโยชน์จากช่องโหว่ความปลอดภัยอื่น ๆ รวมถึงช่องโหว่การเปิดเผยข้อมูลที่ดูเหมือนจะเป็นช่องโหว่ที่มีการโจมตีโดยใช้ proof-of-concept (POC) ที่ถูกเผยแพร่ออกสู่สาธารณะ (CVE-2024-0305) ซึ่งส่งผลกระทบต่อเครื่องบันทึกวิดีโอดิจิตอล (DVR) ของ Guangzhou Yingke Electronic

คำแนะนำความปลอดภัยของ Cisco สำหรับ CVE-2024-20439 และ CVE-2024-20440 ยังคงระบุว่า ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ยังไม่พบหลักฐานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ทั้งสองรายการ

CVE-2024-20439 ไม่ใช่บัญชี backdoor ตัวแรกที่ Cisco ลบออกจากผลิตภัณฑ์ในช่วงไม่กี่ปีที่ผ่านมา โดยพบข้อมูล credentials ที่ฝังอยู่ในซอฟต์แวร์ต่าง ๆ ของบริษัท เช่น Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) และ Emergency Responder

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์จากจีนกำลังใช้วิธีการ hijacking SSH daemon บนอุปกรณ์เครือข่าย โดยส่งมัลแวร์เข้าสู่ process เพื่อให้สามารถแฝงตัวอยู่ในระบบได้อย่างถาวร และดำเนินการอย่างลับ ๆ (more…)

CISA (Cybersecurity and Infrastructure Security Agency) ยืนยันว่าเครื่องมอนิเตอร์ผู้ป่วย Contec CMS8000 ซึ่งผลิตโดยบริษัทจากประเทศจีน และ Epsimed MN-120 ซึ่งเป็นเครื่องมอนิเตอร์ลักษณะเดียวกัน แต่มีการเปลี่ยนชื่อ มีการส่งข้อมูลของผู้ป่วยไปยังที่อยู่ IP ที่ถูกกำหนดล่วงหน้า และมี backdoor ที่สามารถใช้ในการดาวน์โหลด และดำเนินการไฟล์ที่ไม่ได้รับการตรวจสอบ
(more…)

ผู้โจมตีกำลังใช้ช่องโหว่ระดับ Critical ใน ProjectSend ที่ได้รับการเปิดเผยออกสู่สาธารณะ เพื่อ bypass การยืนยันตัวตน เพื่อทำการอัปโหลด webshells และเข้าถึงเซิร์ฟเวอร์จากภายนอก

ช่องโหว่นี้หมายเลข CVE-2024-11680 เป็นช่องโหว่การยืนยันตัวตนในระดับ Critical ที่ส่งผลกระทบต่อ ProjectSend เวอร์ชันก่อน r1720 โดยทำให้ผู้โจมตีสามารถส่ง HTTP request ที่ออกแบบมาเป็นพิเศษไปยัง 'options.

เมื่อวันจันทร์ที่ผ่านมา CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยระดับ Critical ที่ได้รับการแก้ไขไปแล้ว ซึ่งส่งผลกระทบต่อ Array Networks AG และ vxAG secure access gateways เข้าไปในรายการ Known Exploited Vulnerabilities (KEV) หลังมีรายงานการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

ช่องโหว่นี้มีหมายเลข CVE-2023-28461 (คะแนน CVSS: 9.8) โดยเป็นช่องโหว่การขาดการตรวจสอบการยืนยันตัวตน ซึ่งอาจถูกโจมตีโดยการเรียกใช้โค้ดจากระยะไกลได้ โดย Array Networks ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่เรียบร้อยแล้วในเวอร์ชัน 9.4.0.484 ตั้งแต่เดือนมีนาคม 2023

Array Networks ระบุว่า "ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Array AG/vxAG เป็นช่องโหว่ด้านความปลอดภัยบนเว็บที่ทำให้ผู้โจมตีสามารถเข้าถึง filesystem หรือเรียกใช้โค้ดจากระยะไกลบน SSL VPN gateway ได้ โดยใช้ flags attribute ใน HTTP header โดยไม่จำเป็นต้องผ่านการยืนยันตัวตน"

การเพิ่มช่องโหว่นี้ในรายการ KEV catalog เกิดขึ้นไม่นานหลังจากบริษัทด้านความปลอดภัยไซเบอร์ Trend Micro เปิดเผยว่ากลุ่มแฮ็กเกอร์จากจีนที่ชื่อว่า Earth Kasha (หรือที่รู้จักกันในชื่อ MirrorFace) ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ต่าง ๆ เช่น Array AG (CVE-2023-28461), Proself (CVE-2023-45727) และ Fortinet FortiOS/FortiProxy (CVE-2023-27997) เพื่อเข้าถึงระบบในเบื้องต้น

Earth Kasha มีชื่อเสียงจากการโจมตีองค์กรในญี่ปุ่นอย่างกว้างขวาง อย่างไรก็ตามในช่วงไม่กี่ปีที่ผ่านมาพบว่ากลุ่มนี้ยังได้โจมตีไต้หวัน, อินเดีย และยุโรปอีกด้วย

เมื่อต้นเดือนนี้ ESET ยังได้เปิดเผยแคมเปญของ Earth Kasha ที่มุ่งเป้าหมายไปยังหน่วยงานทางการทูตที่ไม่เปิดเผยชื่อในสหภาพยุโรป เพื่อส่ง backdoor ที่ชื่อว่า ANEL โดยใช้ประโยชน์จากงาน World Expo 2025 ที่มีกำหนดจัดขึ้นในโอซาก้า ประเทศญี่ปุ่น ในเดือนเมษายน 2025

จากการโจมตีที่ยังคงดำเนินอยู่ หน่วยงานของรัฐบาลกลาง (FCEB) ได้รับคำแนะนำให้ดำเนินการอัปเดตแพตช์อุปกรณ์ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันเครือข่ายของตน

VulnCheck ได้ให้ข้อมูลโดยระบุว่า การเปิดเผยข้อมูลนี้เกิดขึ้นในขณะที่กลุ่มแฮ็กเกอร์จีน 15 กลุ่ม จากทั้งหมด 60 กลุ่ม มีความเชื่อมโยงกับการใช้ช่องโหว่ที่ถูกโจมตีบ่อยที่สุด 15 รายการในปี 2023

โดย VulnCheck ระบุว่า พบ hosts ที่เชื่อมต่ออินเทอร์เน็ตมากกว่า 440,000 รายการ ที่มีแนวโน้มอาจตกเป็นเป้าหมายของการโจมตีได้

Patrick Garrity จาก VulnCheck ระบุว่า "องค์กรควรประเมินความเสี่ยงที่เกิดจากช่องโหว่เหล่านี้, เพิ่มความสามารถในการตรวจสอบความเสี่ยงที่อาจเกิดขึ้นกับระบบ, ใช้ประโยชน์จากข้อมูลข่าวสารด้านภัยคุกคาม, รักษามาตรฐานการจัดการแพตช์ที่มีประสิทธิภาพ และดำเนินการควบคุมเพื่อลดความเสี่ยง เช่น ลดการเปิดเผยอุปกรณ์ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตให้น้อยที่สุด"

ที่มา : thehackernews

นักวิจัยจาก Securonix พบผู้ไม่หวังดีที่ยังไม่ทราบตัวตนที่แน่ชัด พยายามหลอกให้ผู้ใช้งาน Windows เรียกใช้งาน Linux virtual machine (VM) เวอร์ชันที่ถูกปรับแต่งขึ้นมาเป็นพิเศษ และมีการตั้งค่า backdoor ไว้ (more…)

VMware ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ VMware vCenter Server ระดับ Critical ซึ่งยังไม่ได้รับการแก้ไขอย่างถูกต้องในแพตช์แรกเมื่อเดือนกันยายน 2024 (more…)

กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนือซึ่งเป็นที่รู้จักในชื่อ APT37 ได้แพร่กระจาย backdoor ตัวใหม่ชื่อ "VeilShell" สิ่งที่น่าสนใจคือเป้าหมายของการโจมตีนี้ เนื่องจากโดยปกติแล้ว APT กลุ่มต่าง ๆ จากเกาหลีเหนือส่วนใหญ่จะโจมตีองค์กรในเกาหลีใต้ หรือญี่ปุ่น แต่ในแคมเปญล่าสุดของ APT37 ได้พุ่งเป้าไปที่ประเทศกัมพูชา ซึ่งเป็นประเทศที่ Kim Jong-Un มีความสัมพันธ์ที่มากกว่าปกติ (more…)

แคมเปญการโจมตีใหม่ที่ชื่อว่า FakeUpdate มีเป้าหมายไปยังผู้ใช้งานในฝรั่งเศส โดยการใช้ประโยชน์จากเว็บไซต์ที่ถูกโจมตี เพื่อหลอกให้มีการอัปเดตเบราว์เซอร์ และแอปพลิเคชันปลอม ทำให้เกิดการแพร่กระจายของ WarmCookie backdoor (more…)

ผู้โจมตีมุ่งเป้าไปที่องค์กรในตะวันออกกลาง โดยใช้มัลแวร์ที่ปลอมเป็น Palo Alto GlobalProtect ซึ่งสามารถขโมยข้อมูล และเรียกใช้คำสั่ง PowerShell จากระยะไกล เพื่อแทรกซึมเข้าไปภายในเครือข่ายขององค์กรได้ (more…)