Juniper Networks เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงสุด ซึ่งทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนในผลิตภัณฑ์ Session Smart Router (SSR), Session Smart Conductor และ WAN Assurance Router

CVE-2024-2973 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถหลีกเลี่ยงการยืนยันตัวตนโดยใช้วิธีการ หรือช่องทางอื่นใน Session Smart Router หรือ Conductor ของ Juniper Networks ที่ทำงานร่วมกับ redundant peer ทำให้สามารถเข้าควบคุมอุปกรณ์ทั้งหมดได้

ทั้งนี้ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Routers หรือ Conductors ที่ทำงานใน high-availability redundant configurations เท่านั้นที่จะได้รับผลกระทบจากช่องโหว่นี้

High-availability redundant configurations คือโหมดการตั้งค่า ที่ผู้ดูแลระบบต้องการความต่อเนื่องของบริการที่มีความสำคัญ การตั้งค่านี้มีความจำเป็นต่อการป้องกันการหยุดชะงักของบริการ และเพิ่มความยืดหยุ่นต่อเหตุการณ์ที่ไม่คาดคิดที่ก่อให้เกิดความขัดข้องของระบบ โดยการตั้งค่านี้ถือได้ว่าเป็นค่ามาตรฐานในโครงสร้างพื้นฐานเครือข่ายที่สำคัญ รวมถึงในสภาพแวดล้อมขององค์กรขนาดใหญ่ ศูนย์ข้อมูล โทรคมนาคม อีคอมเมิร์ซ และหน่วยงานของรัฐ หรือบริการสาธารณะ

เวอร์ชันผลิตภัณฑ์ที่ได้รับผลกระทบจาก CVE-2024-2973 ได้แก่ :

Session Smart Router & Conductor :

ทุกเวอร์ชันก่อน 5.6.15
ตั้งแต่ 6.0 จนถึงก่อน 6.1.9-lts
ตั้งแต่ 6.2 จนถึงก่อน 6.2.5-sts

โดย Juniper ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน Session Smart Router เวอร์ชัน 5.6.15, 6.1.9-lts และ 6.2.5-sts

WAN Assurance Router :

เวอร์ชัน 6.0 จนถึงก่อน 6.1.9-lts
เวอร์ชัน 6.2 จนถึงก่อน 6.2.5-sts

โดย WAN Assurance Routers จะได้รับการแก้ไขโดยอัตโนมัติเมื่อเชื่อมต่อกับ Mist Cloud แต่ผู้ดูแลระบบ High-Availability clusters จำเป็นต้องทำการอัปเดตเป็นเวอร์ชัน SSR-6.1.9 หรือ SSR-6.2.5 ก่อน

Juniper แจ้งว่าการอัปเดตดังกล่าวไม่ส่งผลกระทบต่อการเชื่อมต่อ แต่ควรที่จะมีการเผื่อเวลา downtime ประมาณ 30 วินาทีสำหรับ web-based management และ API โดยขณะนี้ยังไม่มีวิธีในการลดผลกระทบ ทาง Juniper แนะนำให้ทำการอัปเดตเท่านั้น

การมุ่งเป้าการโจมตีไปยัง Juniper

ผลิตภัณฑ์ของ Juniper กลายเป็นเป้าหมายในการโจมตีของ Hacker เนื่องจากมีการใช้งานในระบบที่มีความสำคัญ ซึ่งในปี 2023 Juniper EX switches และ SRX firewalls ได้ตกเป็นเป้าหมายการโจมตีด้วยช่องโหว่ 4 รายการ โดยพบหลักฐานการโจมตีหลังจากเปิดเผยช่องโหว่ดังกล่าวไม่ถึงสัปดาห์

รวมถึงในช่วงไม่กี่เดือนที่ผ่านมา CISA ได้ออกมาแจ้งเตือนการพบการโจมตีโดยใช้ช่องโหว่ดังกล่าวเป็นวงกว้าง ทำให้ CISA ต้องสั่งให้หน่วยงานของรัฐทำการแก้ไขช่องโหว่ดังกล่าวโดยเร็วที่สุด

ที่มา : bleepingcomputer

CISA แจ้งเตือนพบ Hacker กำลังใช้ช่องโหว่ Chrome และ D-Link router ในการโจมตีเป้าหมาย

หน่วยงาน US Cybersecurity & Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่ 3 รายการไปยัง Known Exploited Vulnerabilities catalog (KEV) หรือรายการช่องโหว่ที่กำลังถูกใช้ในการโจมตี โดยมีช่องโหว่ 1 รายการที่ส่งผลกระทบต่อ Google Chrome และช่องโหว่ 2 รายการที่ส่งผลกระทบต่อ D-Link router

(more…)

Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยใหม่ทั้งหมด 61 รายการ โดยเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday ในเดือนพฤษภาคม 2024 ซึ่งรวมถึง Zero-Days 2 รายการที่กำลังถูกนำมาใช้ในการโจมตี (more…)

 

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก
สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป
ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

หลังจากนั้น Hacker ทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

ที่มา : bleepingcomputer

 

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่างมัลแวร์เพื่อรับการวิเคราะห์โดย CISA ได้ (more…)

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า เครือข่ายองค์กรรัฐบาลที่ไม่เปิดเผยชื่อ ถูกเจาะผ่านบัญชีผู้ดูแลระบบที่เป็นของอดีตพนักงาน

ตัวแทนจาก CISA ระบุในรายงานความร่วมมือที่เผยแพร่เมื่อวันพฤหัสบดีพร้อม ๆ กับ Multi-State Information Sharing and Analysis Center (MS-ISAC) ว่า เหตุการณ์ดังกล่าวทำให้ผู้โจมตีสามารถเชื่อมต่อ VPN ของเหยื่อได้สำเร็จ โดยมีจุดประสงค์ที่จะรับส่งข้อมูลที่ดูเหมือนเป็นปกติเพื่อหลบเลี่ยงการตรวจจับ

มีการตั้งข้อสงสัยว่าผู้โจมตีได้รับข้อมูล credentials ภายหลังการละเมิดข้อมูล เนื่องจากมีข้อมูล credentials ปรากฏในช่องทางการเผยแพร่ข้อมูลบัญชีรั่วไหล โดยบัญชีผู้ดูแลระบบสามารถเข้าถึง virtualized SharePoint server และยังช่วยให้ผู้โจมตีเข้าถึงชุดข้อมูล credentials อื่นที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งมีสิทธิ์ผู้ดูแลระบบเครือข่ายภายในองค์กร และ Azure Active Directory (ปัจจุบันเรียกว่า Microsoft Entra ID)

สิ่งนี้ทำให้สามารถสำรวจข้อมูลภายในองค์กรของเหยื่อได้มากขึ้น และค้นหา Lightweight Directory Access Protocol (LDAP) ต่าง ๆ กับ domain controller ได้ ซึ่งผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้ยังไม่ถูกเปิดเผยในปัจจุบัน โดยจากการตรวจสอบเหตุการณ์นี้ มีหลักฐานที่แสดงให้เห็นว่าผู้โจมตีมีการย้ายระบบจาก on-premises ไปยัง Azure cloud

ผู้โจมตีเข้าถึงข้อมูลของโฮสต์ และผู้ใช้งานได้ในที่สุด และนำไปโพสต์ลงบน dark web เพื่อหาผลประโยชน์ทางการเงิน โดยมีข้อความแจ้งเตือนให้องค์กรรีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด ปิดการใช้งานบัญชีผู้ดูแลระบบ รวมถึงยกเลิกสิทธิ์การเพิ่มบัญชีที่สอง

เป็นที่น่าสังเกตว่าทั้งสองบัญชีไม่ได้เปิดใช้งาน MFA ซึ่งย้ำให้เห็นถึงความจำเป็นในการรักษาความปลอดภัยบัญชีพิเศษที่ให้สิทธิ์การเข้าถึงระบบที่สำคัญ โดยมีการแนะนำให้ใช้หลักการ least privilege และสร้างบัญชีผู้ดูแลระบบแยกต่างหาก เพื่อแบ่งกลุ่มการเข้าถึงข้อมูลภายในองค์กร และคลาวด์ เป็นสัญญาณบ่งชี้ว่าผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้อง รวมถึงบัญชีของอดีตพนักงานที่ยังไม่ได้ถูกลบออกจาก Active Directory (AD) เพื่อเข้าถึงองค์กรโดยไม่ได้รับอนุญาต

CISA ระบุเพิ่มเติมว่า "บัญชี ซอฟต์แวร์ และบริการที่ไม่จำเป็นในเครือข่ายจะสร้างช่องทางเพิ่มเติมเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้ ใน Azure AD ผู้ใช้ทุกคนสามารถลงทะเบียน และจัดการแอปพลิเคชันที่พวกเขาสร้างขึ้นได้ การตั้งค่าเริ่มต้นเหล่านี้สามารถทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และโจมตีต่อไปภายในเครือข่ายได้ นอกจากนี้ ผู้ใช้ที่สร้าง Azure AD จะกลายเป็นผู้ดูแลระบบโดยอัตโนมัติสำหรับ tenant นั้น ซึ่งอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในการดำเนินการที่เป็นอันตรายได้"

ที่มา : https://thehackernews.

U.S. Cybersecurity and Infrastructure Security Agency หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกมาเรียกร้องให้ผู้ผลิตเลิกใช้ Default Password

เนื่องจากมีความเสี่ยงที่ Hacker จะใช้ Default Password ดังกล่าวในการโจมตีเพื่อติดตั้ง Backdoor เพื่อใช้ในการเข้าถึงอุปกรณ์ที่มีช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยทั่วไปแล้ว Default Password จะถูกใช้เพื่อปรับปรุงกระบวนการผลิต หรือช่วยให้ผู้ดูแลระบบสามารถดำเนินการกับอุปกรณ์จำนวนมากภายในสภาพแวดล้อมขององค์กรได้ง่ายขึ้น แต่หากไม่ได้เปลี่ยน Default Password ก็อาจเป็นความเสี่ยงด้านความปลอดภัยที่ Hacker สามารถใช้เพื่อหลีกเลี่ยงมาตรการตรวจสอบสิทธิ์ ซึ่งอาจส่งผลต่อความปลอดภัยของเครือข่ายทั้งหมดขององค์กรได้เช่นเดียวกัน

(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.