รัฐบาลสหรัฐประกาศเตือน Ransomware โจมตีท่อส่งปิโตรเลียม

สำนักงานด้านความมั่นคงปลอดภัยของสหรัฐ (CISA) ได้แจ้งเตือนให้องค์กรที่สำคัญต่างๆ ที่เป็นกลุ่มโครงสร้างพื้นฐานที่สำคัญของประเทศเกี่ยวการโจมตี Ransomware ล่าสุด ซึ่งส่งผลกระทบต่อโรงงานอัดก๊าซธรรมชาติในส่วนของสินทรัพย์การควบคุมและการสื่อสารในเครือข่ายเทคโนโลยีปฎิบัติการ (OT)

ผู้โจมตีใช้ Spearphishing เพื่อเข้าถึงเครือข่ายเทคโนโลยีสารสนเทศ (IT) ของโรงงานอัดก๊าซธรรมชาติ ตามด้วยการเข้าถึงยังเครือข่าย OT จากนั้นใช้ Ransomware เพื่อเข้ารหัสเครือข่าย IT และ OT การโจมตีดังกล่าวไม่ส่งผลกระทบใดๆ ต่อตัว programmable logic controllers (PLCs) บนเครือข่ายเนื่องจาก Ransomware กระทบแต่อุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows แต่การ Reset ระบบกลับมาใช้เวลาประมาณ 2 วัน ส่งผลกระทบให้ต้องปิดการทำงานของท่อส่งปิโตรเลียม สูญเสียผลผลิตและรายได้

ในประกาศเตือนดังกล่าว CISA ได้เสนอมาตรการบรรเทาผลการปฎิบัติการรวมถึงการบรรเทาผลกระทบด้านเทคนิคและสถาปัตยกรรมให้กับองค์กรในอุตสาหกรรมทุกประเภทเพื่อลดความเสี่ยงที่ต้องรับมือกับการโจมตี Ransomware โดยนำเสนอบทเรียนจากเหตุการณ์ดังกล่าวว่าโรงงานอัดก๊าซธรรมชาติแห่งนั้นสามารถหาอุปกรณ์มาทดแทนรวมถึงสามารถกู้คืนระบบจาก backup ได้

สามารถอ่านรายละเอียดของประกาศดังกล่าวได้จาก www.

สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) ของสหรัฐอเมริกาออกคำเตือนถึงการเพิ่มขึ้นของการโจมตีด้วยมัลแวร์ Emotet
Emotet เป็นโทรจันที่มีความซับซ้อนซึ่งโดยทั่วไปจะทำหน้าที่เป็นตัวดาวน์โหลดหรือ dropper มัลแวร์อื่น ๆ โดยส่วนใหญ่มัลแวร์ดังกล่าวจะแพร่กระจายผ่านไฟล์แนบทางอีเมลที่เป็นอันตรายและพยายามแพร่กระจายภายในเครือข่ายโดยการ Brute Force ข้อมูลประจำตัวของผู้ใช้และการ shared drives หากโจมตีสำเร็จผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้

CISA แนะนำผู้ใช้งานและผู้ดูแลระบบปฏิบัติตาม best practice ต่อไปนี้เพื่อป้องกัน

บล็อกไฟล์อันตรายที่ถูกแนบมากับอีเมล (เช่น ไฟล์ .dll และ .exe)
บล็อกไฟล์แนบอีเมลที่ไม่สามารถสแกนได้โดยซอฟต์แวร์ป้องกันไวรัส (เช่นไฟล์. zip)
แนะนำให้ทำการตั้งค่า Group Policy Object และ Firewall rule
แนะนำให้ติดตั้งโปรแกรมป้องกันไวรัสและทำการแพทช์อย่างสม่ำเสมอ
ติดตั้งตัวกรองที่เกตเวย์อีเมลและบล็อก IP ที่น่าสงสัยที่ไฟร์วอลล์
ยึดตามหลักการของ least privilege
ตั้งค่า Domain-Based Message Authentication, Reporting & Conformance (DMARC)
จัดการแบ่งโซนเน็ตเวิร์ค
จำกัดสิทธิการเข้าถึงที่ไม่จำเป็น

CISA แนะนำให้ผู้ใช้และผู้ดูแลระบบตรวจสอบแหล่งข้อมูลต่อไปนี้สำหรับข้อมูลเกี่ยวกับการป้องกัน Emotet และมัลแวร์อื่น ๆ

CISA Alert Emotet Malware https://www.

WordPress ได้ปล่อยอัปเดตตัวใหม่ออกมา
WordPress 5.3 และเวอร์ชันก่อนหน้าได้รับผลกระทบจากหลายช่องโหว่ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นในการควบคุมเว็บไซต์ที่ได้รับผลกระทบ
หน่วยงาน CISA ได้เตือนให้ผู้ใช้และผู้ดูแลทำการตรวจสอบประกาศของ WordPress https://wordpress.

 

NSA เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI)

National Security Agency (NSA) เผยแพร่คำแนะนำให้กับความเสี่ยงที่เกิดจากการใช้งาน Transport Layer Security Inspection (TLSI) ซึ่งอาจทำให้องค์กรมีความปลอดภัยน้อยลงTLSI หรือ TLS break and inspect หรือ ssl decryption เป็นกระบวนการที่องค์กรสามารถตรวจสอบ traffic ที่เข้ารหัสด้วยความช่วยเหลือของผลิตภัณฑ์ เช่น proxy IDS หรือ IPS ที่สามารถถอดรหัสเพื่อดูข้อมูล แล้วเข้ารหัสข้อมูลกลับไป องค์กรบางแห่งใช้เทคนิคนี้ในการตรวจสอบภัยคุกคามที่อาจเกิดขึ้น เช่น การแอบนำข้อมูลออก การติดต่อไปยังช่องทางการสื่อสารคำสั่งและการควบคุม (C2) หรือ การส่งมัลแวร์ผ่านทราฟฟิกที่เข้ารหัส เทคนิคนี้อาจนำไปสู่ความเสี่ยงอื่นๆ ได้

เครื่องมือ TLSI ที่ไม่ตรวจสอบความถูกต้องของใบรับรอง transport layer security (TLS) ให้ดีจะทำให้การป้องกันแบบ end-to-end ที่ได้จากการเข้ารหัส TLS แก่ผู้ใช้ปลายทางอ่อนแอลงอย่างมากและเพิ่มโอกาสที่ถูกโจมตีในรูปแบบ man-in-the-middle attack
ผู้โจมตีสามารถใช้ประโยชน์จากอุปกรณ์ TLSI โดยโจมตีอุปกรณ์ดังกล่าวเพื่อเข้าถึงข้อมูลที่ถอดรหัสแล้ว รวมถึง insider threat อย่างผู้ดูแลระบบที่มีเจตนาไม่ดีอาจใช้อุปกรณ์ดังกล่าวเพื่อดูรหัสผ่านหรือข้อมูลสำคัญอื่นๆ

เพื่อลดความเสี่ยงที่อธิบายไว้ข้างต้น การตรวจสอบการรับส่งข้อมูล TLS ควรกระทำเพียงครั้งเดียว    ภายในเครือข่ายองค์กร ไม่ควรใช้ TLSI หลายรอบโดยสามารถอ่านรายละเอียด ได้จาก: media.

 

MS-ISAC ได้ปล่อยข้อมูลรายการซอฟต์แวร์ EOS

Multi-State Information Sharing and Analysis Center (MS-ISAC) ได้ปล่อยข้อมูลรายการซอฟต์แวร์ end-of-support (EOS) ซึ่งเป็นซอฟต์แวร์ที่กำลังจะสิ้นสุดการสนับสนุนและจะไม่ได้รับการอัปเดตความปลอดภัยจากผู้ให้บริการอีกต่อไป ดังนั้นจึงมีความเสี่ยงที่จะถูกโจมตีจากช่องโหว่ความปลอดภัย และซอฟต์แวร์ที่ไม่ได้รับการสนับสนุนอาจทำให้เกิดปัญหาซึ่งทำให้ประสิทธิภาพการทำงานลดลง

Cybersecurity and Infrastructure Security Agency (CISA) แจ้งไปยังผู้ใช้งานและผู้ดูแลระบบในการตรวจสอบ MS-ISAC ข้อมูลรายการ EOS : ตุลาคม 2019 https://www.

หน่วยงานความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA) ของสหรัฐอเมริกาออกมาแจ้งเตือนให้ผู้ใช้งานตรวจสอบการตั้งค่าที่ไม่ปลอดภัยบนอุปกรณ์ หรือระบบ SAP ของตนเอง ซึ่งอาจถูกใช้เป็นช่องทางในการโจมตีของผู้ไม่หวังดี

ในงานสัมมนาด้านความปลอดภัยทางไซเบอร์ Operation for Community Development and Empowerment (OPCDE) เมื่อเดือนเมษายนที่ผ่านมา ได้มีการนำเสนอปัญหาการตั้งค่าที่ไม่ปลอดภัยบน SAP ที่เปิดให้สามารถเข้าถึงจากภายนอกได้ อาจจส่งผลให้ผู้ไม่หวังดีสามารถใช้เป็นช่องทางในการโจมตีผ่านการใช้เครื่องมือที่ชื่อว่า "10KBLAZE"

โดยมีส่วนที่ควรต้องตรวจสอบ ดังต่อไปนี้
SAP Gateway ACL
SAP Gateway เป็นส่วนที่อนุญาตให้แอปพลิเคชันที่ไม่ใช่ SAP สื่อสารกับแอปพลิเคชัน SAP ได้ โดยจะมีการตั้งค่า Access Control Lists (ACLs) เป็นตัวควบคุม แต่ถ้าหากมีการตั้งค่าที่ไม่เหมาะสม เช่น gw/acl_mode = 0 จะส่งผลให้ผู้ใช้งานที่ไม่ระบุตัวตน (Anonymous) สามารถสั่งรันคำสั่งระดับระบบปฏิบัติการ (OS) ได้ พบว่ามีระบบ SAP ประมาณ 900 รายการ ในสหรัฐอเมริกา ที่มีการตั้งค่าไม่เหมาะสมและสามารถเข้าถึงได้จากภายนอก

SAP Router secinfo
SAP Router เป็นโปรแกรมที่ช่วยเชื่อมต่อระบบ SAP กับเครือข่ายภายนอก โดยเริ่มต้นจะมีการกำหนดค่าตัวแปร "secinfo" ของ SAP Gateway อนุญาตให้โฮสต์ภายในสามารถสั่งรันคำสั่ง OS โดยไม่ต้องระบุตัวตน (Anonymous) ดังนั้นถ้าหากผู้โจมตีสามารถเข้าถึง SAP Router ที่มีใช้งานการกำหนดค่าแบบเริ่มต้นได้ จะส่งผลให้ผู้ไม่หวังดีสามารถใช้ router เพื่อทำหน้าที่เป็นโฮสต์ภายในและ Proxy เพื่อส่งคำสั่งที่เป็นอันตรายได้ (remote code execution) พบว่ามี SAP Router ประมาณ 1,811 รายการในสหรัฐอเมริกาที่สามารถเชื่อมต่อกับภาย เสี่ยงต่อการถูกโจมตี

SAP Message Server
SAP Message Server จะทำหน้าที่เป็นตัวกลางระหว่าง Application Servers (AS) โดยการตั้งค่าเริ่มต้นจะกำหนดให้มีการเปิด Port 39xx เอาไว้ และไม่มีการตรวจสอบสิทธิ์ (authentication) เพื่อใช้งาน ดังนั้นหากผู้ไม่หวังดีสามารถเข้าถึง Message Server ได้ จะส่งผลให้สามารถเปลี่ยนเส้นทาง และ/หรือทำตัวเป็น Man-in-the-middle (MITM) เพื่อดักการส่งข้อมูล และขโมยข้อมูลสำคัญ (credentials) เพื่อนำไปใช้ในการเข้าถึง Application Servers (AS) และสั่งรันคำสั่งที่เป็นอันตรายได้ พบว่ามี Message Server ประมาณ 693 รายการในสหรัฐอเมริกาที่สามารถเข้าถึงได้จากภายนอก และเสี่ยงต่อการถูกโจมตี ทั้งนี้ผู้ใช้งานที่มีการใช้งาน IPS หรือ IDS สามารถใช้ Snort signature ที่มีมาให้ในลิงก์ที่มาเพื่อช่วยในการตรวจจับหรือป้องกันได้

CISA แนะนำให้ผู้ดูแลระบบ SAP ดำเนินการดังต่อไปนี้ เพื่อลดความเสี่ยงที่ระบบของตนเองอาจตกเป็นเหยื่อจากการโจมตี
- ตรวจสอบระบบของตนเอง เพื่อให้แน่ใจว่าการกำหนดค่านั้นมีความปลอดภัยเพียงพอแล้วหรือยัง
- จำกัดการเข้าถึง SAP Message Server โดย:
1. กำหนดค่า ACL ให้เฉพาะผู้ที่มีสิทธิ์เข้าถึงบน Gateways (gw/acl_mode และ secinfo) และ Message Server (ms/acl_info) สามารถศึกษาได้จาก SAP Notes 1408081 และ 821875
2. แยก Message Server Internal และ Public (rdisp/msserv=0 rdisp/msserv_internal=39NN) สามารถศึกษาได้จาก SAP Note 1421005
3. จำกัดการเข้าถึงพอร์ตภายในของ Message Server (tcp / 39NN) สำหรับผู้ใช้งานหรือจากภายนอก
- เปิดใช้งาน Secure Network Communications (SNC) สำหรับผู้ใช้งาน

* ตรวจสอบให้แน่ใจว่าระบบ SAP ในองค์กร ไม่ว่าจะเป็นส่วนใดก็ตาม ไม่ควรที่จะสามารถเข้าถึงได้จากภายนอก

ที่มา: www.