CISA ได้เพิ่มช่องโหว่หลายรายการเข้าไปใน Exploited Vulnerabilities (KEV) แค็ตตาล็อก โดยพบช่องโหว่ทั้งหมด 6 รายการในผลิตภัณฑ์ต่าง ๆ เช่น Zimbra Collaboration, Ivanti, D-Link, DrayTek, GPAC, และ SAP ซึ่งช่องโหว่เหล่านี้มีระดับความรุนแรงตั้งแต่ระดับ Critical จนถึงความรุนแรงระดับปานกลาง และจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน (more…)
CISA แจ้งเตือนช่องโหว่ระดับ Critical หลายรายการที่ถูกเปิดเผยบนแพลตฟอร์มต่าง ๆ
CISA เพิ่มช่องโหว่ระดับ Critical 4 รายการเข้าใน KEV แค็ตตาล็อก
CISA ได้เพิ่มช่องโหว่ใหม่ 4 รายการใน Known Exploited Vulnerabilities แค็ตตาล็อก จากการพบการโจมตีอย่างต่อเนื่อง ช่องโหว่เหล่านี้ทำให้เกิดความเสี่ยงที่สำคัญสำหรับองค์กรที่ใช้งานอุปกรณ์ที่ได้รับผลกระทบ (more…)
CISA แจ้งเตือนพบกลุ่ม Hacker มุ่งโจมตีระบบอุตสาหกรรมโดยใช้วิธีการที่ไม่ซับซ้อน
CISA แจ้งเตือนการพบกลุ่ม Hacker กำลังพยายามโจมตีระบบเครือข่ายโครงสร้างพื้นฐานที่สำคัญ ด้วยการกำหนดเป้าหมายไปยังอุปกรณ์ด้านอุตสาหกรรมที่เข้าถึงได้จากอินเทอร์เน็ตโดยใช้วิธีการที่ไม่ซับซ้อน เช่น brute force attack และ default credentials โดยมุ่งเป้าหมายการโจมตีไปยังอุปกรณ์โครงสร้างพื้นฐานที่สำคัญ เช่น อุปกรณ์ operational technology (OT) และ industrial control systems (ICS) รวมถึง Water and Wastewater Systems (WWS) (more…)
พบช่องโหว่ระดับ Critical ใน Versa Director
CISA ได้เน้นย้ำถึงช่องโหว่ใน Versa Director ของ Versa Networks ซึ่งเป็นแพลตฟอร์ม centralized management สำหรับโซลูชัน Secure SD-WAN และ SASE ช่องโหว่นี้ถูกติดตามในหมายเลข CVE-2024-45229 เป็นช่องโหว่ที่เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้อง และส่งผลกระทบต่อหลายเวอร์ชันของซอฟต์แวร์ องค์กรที่ใช้เวอร์ชันที่มีช่องโหว่ของ Versa Director ควรเร่งดำเนินการอัปเดตแพตซ์ทันทีเพื่อป้องกันความปลอดภัยของเครือข่ายในองค์กร
(more…)
CISA เพิ่มช่องโหว่ของ Progress WhatsUp Gold และ MSHTML ลงใน Known Exploited Vulnerabilities แคตตาล็อก
CISA ได้เพิ่มช่องโหว่ที่มีผลกระทบกับแพลตฟอร์ม MSHTML ของ Microsoft Windows และโซลูชันการตรวจสอบเครือข่าย Progress WhatsUp Gold ลงในแคตตาล็อกช่องโหว่ที่กำลังถูกใช้ในการโจมตี (KEV) หลังจากที่มีการเปิดเผยหลักฐานว่าพบเครื่องมือที่ใช้สำหรับทดสอบการโจมตี (PoCs) และนักวิจัยด้านความปลอดภัยได้พบการโจมตีจากช่องโหว่เหล่านี้อย่างต่อเนื่อง
(more…)
CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware
CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware
CISA ได้เพิ่มช่องโหว่ remote code execution ระดับ Critical ของ Jenkins ที่กำลังถูกใช้ในการโจมตีเข้า Known Exploited Vulnerabilities Catalog พร้อมแจ้งเตือนว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน
(more…)
Juniper ออกแพตซ์นอกรอบแก้ไขช่องโหว่ Auth Bypass ระดับ Critical บนอุปกรณ์
Juniper Networks เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุด ซึ่งทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนในผลิตภัณฑ์ Session Smart Router (SSR), Session Smart Conductor และ WAN Assurance Router
CVE-2024-2973 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนโดยใช้วิธีการ หรือช่องทางอื่นใน Session Smart Router หรือ Conductor ของ Juniper Networks ที่ทำงานร่วมกับ redundant peer ทำให้สามารถเข้าควบคุมอุปกรณ์ทั้งหมดได้
ทั้งนี้ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Routers หรือ Conductors ที่ทำงานใน high-availability redundant configurations เท่านั้นที่จะได้รับผลกระทบจากช่องโหว่นี้
High-availability redundant configurations คือโหมดการตั้งค่า ที่ผู้ดูแลระบบต้องการความต่อเนื่องของบริการที่มีความสำคัญ การตั้งค่านี้มีความจำเป็นต่อการป้องกันการหยุดชะงักของบริการ และเพิ่มความยืดหยุ่นต่อเหตุการณ์ที่ไม่คาดคิดที่ก่อให้เกิดความขัดข้องของระบบ โดยการตั้งค่านี้ถือได้ว่าเป็นค่ามาตรฐานในโครงสร้างพื้นฐานเครือข่ายที่สำคัญ รวมถึงในสภาพแวดล้อมขององค์กรขนาดใหญ่ ศูนย์ข้อมูล โทรคมนาคม อีคอมเมิร์ซ และหน่วยงานของรัฐ หรือบริการสาธารณะ
เวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบจาก CVE-2024-2973 ได้แก่ :
Session Smart Router & Conductor :
ทุกเวอร์ชันก่อน 5.6.15
ตั้งแต่ 6.0 จนถึงก่อน 6.1.9-lts
ตั้งแต่ 6.2 จนถึงก่อน 6.2.5-sts
โดย Juniper ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน Session Smart Router เวอร์ชัน 5.6.15, 6.1.9-lts และ 6.2.5-sts
WAN Assurance Router :
เวอร์ชัน 6.0 จนถึงก่อน 6.1.9-lts
เวอร์ชัน 6.2 จนถึงก่อน 6.2.5-sts
โดย WAN Assurance Routers จะได้รับการแก้ไขโดยอัตโนมัติเมื่อเชื่อมต่อกับ Mist Cloud แต่ผู้ดูแลระบบ High-Availability clusters จำเป็นต้องทำการอัปเดตเป็นเวอร์ชัน SSR-6.1.9 หรือ SSR-6.2.5 ก่อน
Juniper แจ้งว่าการอัปเดตดังกล่าวไม่ส่งผลกระทบต่อการเชื่อมต่อ แต่ควรที่จะมีการเผื่อเวลา downtime ประมาณ 30 วินาทีสำหรับ web-based management และ API โดยขณะนี้ยังไม่มีวิธีในการลดผลกระทบ ทาง Juniper แนะนำให้ทำการอัปเดตเท่านั้น
การมุ่งเป้าการโจมตีไปยัง Juniper
ผลิตภัณฑ์ของ Juniper กลายเป็นเป้าหมายในการโจมตีของ Hacker เนื่องจากมีการใช้งานในระบบที่มีความสำคัญ ซึ่งในปี 2023 Juniper EX switches และ SRX firewalls ได้ตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ 4 รายการ โดยพบหลักฐานการโจมตีหลังจากเปิดเผยช่องโหว่ดังกล่าวไม่ถึงสัปดาห์
รวมถึงในช่วงไม่กี่เดือนที่ผ่านมา CISA ได้ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวเป็นวงกว้าง ทำให้ CISA ต้องสั่งให้หน่วยงานของรัฐทำการแก้ไขช่องโหว่ดังกล่าวโดยเร็วที่สุด
ที่มา : bleepingcomputer
CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย
CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย
หน่วยงาน US Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities catalog (KEV) หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี โดยมีช่องโหว่ 1 รายการที่ส่งผลกระทบต่อ Google Chrome และช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ D-Link router
(more…)
Microsoft ออกแพตซ์แก้ไขช่องโหว่ 61 รายการ รวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี
Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)
CISA สั่งหน่วยงานที่ได้รับผลกระทบจากการถูกโจมตีของ Microsoft ทำการแก้ไขโดยด่วน
หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย
คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง
CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ
การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง
Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล
ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024
ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024
หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :
ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024
Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย
แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams
รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย
การโจมตี Microsoft ของกลุ่ม APT 29
ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ
หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท
กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้
ที่มา : bleepingcomputer