IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

Tom Anthony ผู้บริหารด้านผลิตภัณฑ์ของ SearchPilot ได้เปิดเผยถึงการค้นพบช่องโหว่ในแอปพลิเคชัน Zoom ที่อาจจะทำให้ผู้โจมตีสามารถทำการถอดรหัสผ่านห้องประชุมส่วนตัวได้ ซึ่งการเผยแพร่นี้เกิดหลังจากได้รายงานไปยัง Zoom จนทำการแก้ไขเรียบร้อยแล้ว

Anthony เปิดเผยว่าช่องโหว่ถูกพบในเว็บไคลเอ็นต์ของ Zoom โดยช่องโหว่ที่ค้นพบนั้นเกี่ยวข้องกับการตั้งค่าการป้องกันของห้องประชุมส่วนตัวด้วยรหัสผ่านเริ่มต้น ช่องโหว่จะอนุญาตให้ผู้โจมตีทำการ Brute-force รหัสผ่านของการประชุม ซึ่งถูกกำหนดค่าเริ่มต้นด้วยตัวเลขจำนวน 6 หลัก จึงทำให้ผู้โจมตีสามารถทำการสุ่มจำนวนตัวเลข 1 ล้านครั้งก็จะถอดรหัสและเข้าสู่การประชุมได้ ซึ่ง Anthony ระบุว่าเขาเช่าเซิร์ฟเวอร์ใน AWS หนึ่งเครื่องแล้วสามารถถอดรหัสผ่านการประชุมหนึ่งได้ใน 25 นาที ซึ่งในกรณีที่กระจายการถอดรหัสไปหลายๆ เครื่อง จะใช้เวลาน้อยกว่านั้น

Anthony ได้ทำการรายงานปัญหาและช่องโหว่ให้กับ Zoom เมื่อวันที่ 1 เมษายน 2020 ที่ผ่านมา หลังจากได้รับรายงานทาง Zoom ได้ทำการปิดเว็บไคลเอ็นต์เพื่อทำการเเก้ไขปัญหา

หลังจากรับทราบและทำการเเก้ไขปัญหา Zoom เปิดให้บริการเว็บไคลเอ็นต์อีกครั้งในวันที่ 9 เมษายน 2020 ที่ผ่านมาโดยการเเก้ปัญหานั้น Zoom ได้ทำการปรับปรุงและเเก้ไข CSRF โทเค็นและจะกำหนดให้ผู้ใช้งานทุกคนต้องทำการลงชื่อเข้าใช้ก่อนเข้าร่วมการประชุมผ่านเว็บไคลเอ็นต์และทำการอัปเดตการตั้งรหัสผ่านเริ่มต้นการประชุมยาวกว่า 6 ตัวอักษรและไม่ใช่ตัวเลขเพียงอย่างเดียวอีกต่อไป

ที่มา:

bleepingcomputer.

GuardiCore ออกประกาศแจ้งเตือนหลังจากค้นพบพฤติกรรมของมัลแวร์ชนิดใหม่ Prowli ซึ่งมุ่งโจมตีระบบด้วยวิธีการ brute force แล้วไปถึงใช้ช่องโหว่ที่เป็นที่รู้จักกันอยู่แล้วเพื่อเข้าควบคุมระบบ โดยมีจุดประสงค์ในการใช้ระบบเพื่อขุดบิทคอยน์และใช้เพื่อเป็นฐานการโจมตีในลักษณะอื่นๆ

มัลแวร์ Prowli มีการใช้ช่องโหว่ดังต่อไปนี้
- ในกรณีที่เป้าหมายเป็นเว็บไซต์ WordPress มัลแวร์จะใช้ช่องโหว่ที่มีอยู่แล้วรวมไปถึงการเดารหัสผ่านเพื่อเข้าถึงหน้าการตั้งค่า
- ในกรณีที่เป้าหมายเป็น Joomla! ที่มีการรันส่วนเสริม K2 มัลแวร์จะใช้ช่องโหว่รหัส CVE-2018-7482
- ในกรณีที่เป้าหมายเป็นอุปกรณ์โมเด็ม มัลแวร์จะพุ่งเป้าโจมตีเซอร์วิส TR-064 และ TR-069 ที่มีช่องโหว่อยู่แล้ว
- ในกรณีที่เป้าหมายเป็นอุปกรณ์ HP Data Protector มัลแวร์จะใช้ช่องโหว่รหัส (CVE-2014-2623)
- ใช้การคาดเดารหัสผ่านสำหรับ Drupal, phpMyadmin, NFS และ SMB

เมื่อเข้าควบคุมระบบเป้าหมายได้สำเร็จมัลแวร์จะมีการใช้แบ็คดอร์อย่าง WSO Web Shell รวมไปถึงติดตั้งโปรแกรมขุดบิทคอยน์และใช้ระบบดังกล่าวในเป็นช่องทางในการแพร่กระจายมัลแวร์อื่นๆ ด้วย

ที่มา: bleepingcomputer

MySQL และ MariaDB มีช่องโหว่ security-bypass
โดยผู้โจมตีสามารถใช้เทคนิคที่เรียกว่า brute force ในการโจมตีและอาจส่งผลให้เกิดการโจมตีอื่นๆตามมา

ที่มา: securityfocus