หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกประกาศรหัส AA20-258A ล่าสุดภายใต้หัวข้อซึ่งมีการพูดถึงแคมเปญการโจมตีทางไซเบอร์ซึ่งมีกระทรวงความมั่นคงของจีน (Ministry of State Security - MSS) หนุนหลัง โดยได้มีการเผยแพร่ช่องโหว่ซึ่งแฮกเกอร์จีนมักจะใช้ในการโจมตีและพฤติกรรมของแฮกเกอร์จีนด้วย

รายการช่องโหว่ทั้งหมดที่ถูกใช้เพื่อโจมตีล้วนแล้วอยู่ในช่วง "สัปดาห์นรก" ของวงการ Security ที่มีการประกาศการค้นพบช่องโหว่ในอุปกรณ์เครือข่ายและระบบสำคัญหลายช่องโหว่ โดยมีรายการดังนี้

ช่องโหว่ใน F5 Big-IP รหัส CVE-2020-5902 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Citrix VPN Appliance รหัส CVE-2019-19781 รันคำสั่งอันตรายในอุปกรณ์ได้จากระยะไกล
ช่องโหว่ใน Pulse Secure VPN รหัส CVE-2019-11510 รันคำสั่งอันตรายเพื่ออ่านข้อมูลในระบบได้จากระยะไกล
ช่องโหว่ใน Microsoft Exchange รหัส CVE-2020-0688 ใช้รันคำสั่งอันตรายเพื่อขโมยอีเมลได้

ช่องโหว่ทั้งหมดมีโค้ดสำหรับโจมตีเผยแพร่ในอินเตอร์เน็ตแล้ว และมักถูกใช้โดยกลุ่ม Ransomware เพื่อโจมตีและเรียกค่าไถ่ด้วย ขอให้องค์กรทำการตรวจสอบและลดความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่เหล่านี้โดยด่วน

ที่มา: zdnet.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ออกมาแจ้งเตือนเกี่ยวกับโทรจันใหม่ซึ่งเชื่อมโยงกับการโจมตีโดยกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือภายใต้ชื่อ BLINDINGCAN โดยมัลแวร์ดังกล่าวพุ่งเป้าโจมตีหน่วยงานทางการทหาร การบินและอวกาศของสหรัฐฯ

มัลแวร์ BLINDINGCAN เชื่อมโยงกับปฏิบัติการการโจมตีชื่อ North Star ซึ่งถูกตรวจพบโดย McAfee และปฏิบัติการ DreamJob ซึ่งถูกตรวจพบโดย ClearSky โดยแฮกเกอร์สัญชาติเกาหลีเหนือจะมีการแอบอ้างและปลอมตัวเพื่อให้เป้าหมายหลงเชื่อและมีการส่งมัลแวร์ผ่านทางอีเมลไปยังเป้าหมาย (ดูรายละเอียดของทั้งสองปฏิบัติการได้จากลิงค์ท้ายข่าว)

มัลแวร์ BLIDINGCAN จะถูกติดตั้งเพื่อฝังตัวอยู่ในระบบเป้าหมายเพื่อให้ผู้โจมตีใช้มัลแวร์เป็นช่องทางในการเข้าถึงระบบเป้าหมาย โดยตัวมัลแวร์ยังมีคุณสมบัติของโทรจันที่ทำให้มันสามารถดำเนินการเกี่ยวกับไฟล์ รวมไปถึงเก็บข้อมูลต่างๆ ในระบบได้

ประกาศจาก CISA ได้มีการแนบข้อมูลตัวบ่งชี้ภัยคุกคามมาแล้วในลักษณะของ Malware Analysis Report รหัส AR20-232A ผู้ดูแลระบบสามารถนำข้อมูลดังกล่าวไปใช้เพื่อระบุหาการมีอยู่หรือป้องกันภัยคุกคามได้ทันที

ดูรายละเอียดตัวบ่งชี้ภัยคุกคามได้ที่ https://us-cert.

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกคำเเนะนำและเเจ้งเตือนให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้ทำการอัปเดตเเพตซ์เพื่อเเก้ไขช่องโหว่หลังพบว่ามีผู้ปล่อย PoC ของช่องโหว่ลง GitHub

ช่องโหว่ที่สำคัญและได้คำเเนะนำให้รีบอัปเดตเเพตซ์คือ CVE-2019-0230 และ CVE-2019-0233 มีผลกระทบกับ Apache Struts เวอร์ชัน 2.0.0 ถึง 2.5.20

ช่องโหว่ CVE-2019-0230 เป็นช่องโหว่ที่เกิดจากการการประมวลผลแท็กภายในแอตทริบิวต์ของ Object-Graph Navigation Language (OGNL) เมื่อ Struts พยายามทำการประมวลผลแท็กอินพุตภายในแอตทริบิวต์ ช่องโหว่จะทำส่งผลให้ผู้โจมตีที่ส่ง OGNL ที่เป็นอันตรายสามารถเรียกใช้โค้ดจากระยะไกล ช่องโหว่นี้ถูกค้นพบโดย Matthias Kaiser จาก Apple Information Security

ช่องโหว่ CVE-2019-0233 เป็นช่องโหว่ในการเเก้ไขสิทธิ์ในการเข้าถึงไฟล์ในระหว่างการอัปโหลดไฟล์ ซึ่งอาจส่งผลให้ผู้โจมตีสามารถแก้ไขคำขอระหว่างการดำเนินการอัปโหลดไฟล์ การดำเนินการในลักษณะนี้จะส่งผลให้ไฟล์ที่ทำการอัปโหลดล้มเหลว เมื่อเกิดความพยายามทำหลายๆ ครั้งอาจส่งผลให้เกิดการปฏิเสธเงื่อนไขการให้บริการหรือ Denial of service (DoS) ช่องโหว่นี้ถูกค้นพบโดย Takeshi Terada จาก Mitsui Bussan Secure Directions, Inc

CISA ได้ออกคำเเนะนำให้ผู้ดูเเลระบบและผู้ใช้ Apache Struts 2 ให้รีบทำการอัปเดตเเพตซ์ให้เป็น Apache Struts เวอร์ชั่น 2.5.22 เพื่อเเก้ไขช่องโหว่ดังกล่าวและป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จาก PoC ของช่องโหว่ที่ถูกเปิดภายใน GitHub ทำการโจมตีระบบ

ที่มา:

us-cert.

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของสหรัฐอเมริกาและโครงสร้างพื้นฐาน (CISA) และศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกแจ้งเตือนเกี่ยวกับการโจมตีด้วยมัลเเวร์ QSnatch ไปยังอุปกรณ์ QNAP NAS หลังพบทวีความรุนเเรงมากขึ้นจากการพบผู้ติดเชื้อจำนวน 7,000 เครื่องในเดือนตุลาคม 2562 ซึ่งปัจุบันนั้นพบว่าได้เพิ่มจำนวนมากขึ้นเป็น 62,000 เครื่องในปัจจุบัน

ในรายงานของ CISA และ NCSC ได้ระบุว่า QSnatch ถูกพบครั้งเเรกในปี 2014 โดยมัลเเวร์ QSnatch พุ่งเป้าไปที่ QNAP NAS โดยปัจจุบัน มิถุนายน 2563 มีอุปกรณ์ติดเชื้อประมาณ 62,000 เครื่องทั่วโลกซึ่งประมาณ 7,600 เครื่องอยู่ในสหรัฐอเมริกาและ 3,900 เครื่องอยู่ในสหราชอาณาจักรและจากการค้นพบล่าสุดพบว่ามัลเเวร์ QSnatch นั้นได้เพิ่มความสามารถดังนี้

สร้างการเข้าสู่ระบบของผู้ดูแลระบบอุปกรณ์ปลอมและทำการบันทึกข้อมูลหลังจากนั้นจะส่งต่อไปยังหน้าเข้าสู่ระบบที่ถูกต้อง
การสแกน Credential
SSH backdoor
Exfiltration
Webshell สำหรับการเข้าถึงระยะไกล

ทั้งนี้ CISA และ NCSC ยังไม่พบสาเหตุหรือช่องโหว่ที่มัลเเวร์ QSnatch ใช้ในการระบาด แต่ CISA และ NCSC ได้ระบุว่าเมื่อมัลแวร์ QSnatch เข้ามาสู่ระบบ มัลแวร์จะทำการ Inject เข้าสู่ Firmware เพื่อที่จะสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และจะทำการบล็อกฟีเจอร์การอัปเดต Firmware เพื่อทำการฝังตัวและเปิดช่องทางให้สามาถกลับเข้ามาใช้ช่องโหว่อีกครั้ง

ทั้งนี้ผู้ที่สนใจสามารถอ่านข้อมูลเพิ่มเติมได้ที่: https://us-cert.

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ หรือ Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกเตือนภัยผู้ใช้งานผลิตภัณฑ์ SAP หลังจากมีการปล่อยแพตช์ด้านความปลอดภัยออกมาจำนวนมาก โดยมีการพยายามกวดขันให้ผู้ใช้งานทำการแพตช์เพื่อจัดการความเสี่ยงอย่างจริงจัง

นอกเหนือจากช่องโหว่ใน SAP NetWeaver ซึ่งทางไอ-ซีเคียวได้รายงานไปก่อนหน้านี้แล้ว ทาง SAP ยังได้มีการออกเเพตซ์เเก้ไขช่องโหว่ประจำเดือนกรกฎาคม 2020 โดยมีการออกเเพต์เเก้ไขอีกกว่าเกือบ 10 รายการ ซึ่งช่องโหว่ที่สำคัญดังนี้

ช่องโหว่นี้เป็นช่องโหว่การใช้งาน SAP Business ด้วย Google Chromium ช่องโหว่นี้ยังไม่มี CVE เเต่ช่องโหว่ มีคะเเนน CVSSv3 อยู่ที่ 9.8/10 ช่องโหว่มีผลกระทบกับ SAP Business Client เวอร์ชั่น 6.5
ช่องโหว่ CVE-2020-6281 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (BI Launch pad) เวอร์ชั่น 4.2
ช่องโหว่ CVE-2020-6276 (CVSSv3 6.1/10) เป็นช่องโหว่ Cross-Site Scripting (XSS) บน SAP Business Objects Business Intelligence Platform (Bipodata) เวอร์ชั่น 4.2
ผู้ใช้งานผลิตภัณฑ์ SAP ควรทำการอัพเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่

ที่มา:

us-cert.

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

DHS, CISA และ FBI เปิดเผยช่องโหว่ยอดนิยม Top 10 ที่ใช้ในการโจมตีช่วง 2016-2019

กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS), สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) และ สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกรายงานช่องโหว่ 10 อันดับแรกของซอฟต์แวร์ที่ถูกใช้โจมตีมากที่สุดในช่วงระหว่างปี 2559 ถึงปี 2562 รายละอียดช่องโหว่มีดังนี้

CVE-2017-11882: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-0199: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Office
CVE-2017-5638: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Apache Struts
CVE-2012-0158: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft Windows ActiveX
CVE-2019-0604: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SharePoint
CVE-2017-0143: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft SMB
CVE-2018-4878: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตบน Adobe Flash Player
CVE-2017-8759: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลใน Microsoft .NET Framwework
CVE-2015-1641: ช่องโหว่การเรียกใช้โค้ดโดยไม่ได้รับอนุญาตใน Microsoft Office
CVE-2018-7600: ช่องโหว่การเรียกใช้โค้ดโจมตีระยะไกลบน Drupal
US-CERT ได้ออกคำแนะนำในการลดความเสี่ยงจากการโจมตีโดยเเนะนำผู้ใช้งานให้ทำการและอัพเดทแพตซ์ด้านความปลอดภัยให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ

ที่มา: us-cert

กลุ่ม APT กำหนดเป้าหมายโจมตีระบบการดูแลสุขภาพและการบริการ

กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (DHS), สำนักงานความมั่นคงทางอินเทอร์เน็ตและโครงสร้างพื้นฐาน (CISA) และศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC) ได้ออกประกาศคำเตือนถึงภัยคุกคามจากกลุ่ม APT ที่กำลังใช้ประโยชน์จากการระบาดของโรค Coronavirus 2019 (COVID-19) ในการทำปฏิบัติการไซเบอร์

CISA และ NCSC ระบุว่ากลุ่ม APT กำลังใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 และกำลังมุ่งเป้าหมายไปที่องค์กรหรือหน่วยงานที่เกี่ยวข้องกับการดูแลสุขภาพ, บริษัทยา, สถาบันการศึกษา, องค์กรวิจัยทางการแพทย์และรัฐบาลท้องถิ่นที่อยู่ในระดับชาติและระดับนานาชาติ เพื่อรวบรวมและขโมยข้อมูลส่วนบุคคลทรัพย์สินทางปัญญา

CISA และ NCSC กำลังตรวจสอบแคมเปญ Password Spraying ที่ดำเนินการโดยกลุ่ม APT โดยใช้ประโยชน์ที่เกี่ยงเนื่องจาก COVID-19 ทำการโจมตีหน่วยงานด้านการดูแลสุขภาพในหลายประเทศรวมถึงสหราชอาณาจักรและสหรัฐอเมริกา

Password Spraying เป็นวิธีการโจมตีลักษณะเดียวกับ Brute force attack ที่รู้จักกันดี แต่ข้อแตกต่างคือ Password Spraying จะใช้รหัสผ่านทีละตัวในการไล่โจมตีแต่ละบัญชีผู้ใช้งาน (account) เมื่อไล่ครบทุกบัญชีแล้ว จึงค่อยใช้รหัสผ่านตัวต่อไปในการไล่โจมตี ต่างกับ Brute force ที่จะใช้วิธีการไล่ใส่รหัสผ่านในบัญชีผู้ใช้งานเพียงบัญชีเดียวจนกว่าจะสำเร็จ วิธีการนี้จึงไม่สามารถป้องกันได้ด้วยการ Lock บัญชีเมื่อมีการกรอกรหัสผ่านผิดเกินจำนวนที่กำหนดไว้ (account-lockout)

CISA และ NCSC ได้ออกคำเเนะนำในการป้องกันความปลอดภัยของข้อมูลดังนี้

ทำการอัปเดตแพตช์และการกำหนดค่าซอฟต์แวร์ให้เป็นเวอร์ชั่นล่าสุดบนอุปกรณ์เน็ตเวิร์ค, อุปกรณ์ที่ใช้ในการทำรีโมตและ VPN
ใช้ Multi-Factor Authentication (MFA) เพื่อลดผลกระทบจากการถูกโจมตี Password
ป้องกันการจัดการอินเทอร์เฟซของระบบปฏิบัติเพื่อป้องกันไม่ให้ผู้โจมตีได้รับสิทธิ์ในการเข้าถึงทรัพย์สินที่หรือข้อมูลที่สำคัญอย่างง่ายดาย
ทำการสร้างระบบ Security Monitor เพื่อรวบรวมข้อมูลและทำการวิเคราะห์การบุกรุกเครือข่ายที่จะเข้าสู่ระบบเพื่อความปลอดภัย
ทำการตรวจสอบสิ่งที่ผิดปกติในระบบอยู่เป็นประจำ
ใช้ระบบและซอฟต์แวร์ที่ทันสมัยเพื่อลดปัญหาช่องโหว่ของระบบและซอฟต์แวร์
ติดตามข้อมูลข่าวสารด้านความปลอดภัยสารสนเทศอยู่เป็นประจำเพื่อทำการอัพเดตความรู้และวิธีการป้องกันต่างๆ

ที่มา: us-cert

 

CISA ประกาศแจ้งเตือนภัยคุกคามพุ่งเป้าโจมตีช่องโหว่ Pulse Secure VPN (CVE-2019-11510)

Cybersecurity and Infrastructure Security Agency (CISA) ได้รับรายงานจากรัฐบาลกลางและหน่วยงานที่เกี่ยวกับเชิงพาณิชย์ของสหรัฐ เกี่ยวกับที่มีเหตุการณ์การใช้ประโยชน์จาก CVE-2019-11510 ซึ่งเป็นช่องโหว่ในการอ่านไฟล์ที่ส่งผลต่อ Pulse Secure VPN เพื่อเข้าถึงเครือข่ายเหยื่อ ถึงแม้ว่าทาง Pulse Secure จะปล่อยแพตช์สำหรับ CVE-2019-11510 ในเดือนเมษายน 2019 แล้วก็ตาม

CVE-2019-11510 เป็นช่องโหว่ในการอ่านไฟล์โดยไม่ได้รับอนุญาตที่ส่งผลต่ออุปกรณ์ Pulse Secure VPN ผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้เพื่อร้องขอไฟล์โดยไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ VPN ได้

ช่องโหว่ที่เกิดขึ้นจากการอนุญาติให้สำรวจพาธไดเรกทอรี dana/html5/acc จึงทำให้เข้าผู้โจมตีเข้าถึงเนื้อหาของไฟล์ได้โดยไม่ต้องขอรับอนุญาต ทำให้ผู้โจมตีสามารถค้นหาและอ่านข้อมูลไฟล์หรือข้อมูลยูสเซอร์และพาสเวิดที่อยู่บนระบบได้

CISA ขอแนะนำให้องค์กรที่ยังไม่ได้ทำการอัพเกรดแพตช์ Pulse Secure VPN ให้ทำการอัพเกรดโดยด่วน และขอแนะนำให้เปลี่ยนรหัสผ่านสำหรับบัญชี Active Directory ทั้งหมดรวมถึงบัญชีผู้ดูแลระบบในกรณีที่พบว่าถูกทำการโจมดี

ทั้งนี้ CISA ได้เผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) และเครื่องมือช่วยผู้ดูแลเครือข่ายค้นหาและตรวจจับการใช้ประโยชน์ที่เกี่ยวข้องกับช่องโหว่ CVE-2019-11510 เพื่อเป็นประโยชน์ในการป้องกันเครือข่ายจากการโจมตี

เครื่องมือสำหรับตรวจสอบการโจมตีจาก CISA: https://github.