CISA แจ้งเตือนการโจมตีโดยใช้ประโยชน์จากช่องโหว่ Ivanti MobileIron

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้ออกประกาศเตือน 2 ช่องโหว่ใหม่ใน Endpoint Manager Mobile (EPMM) ของ Ivanti (เดิมชื่อ MobileIron Core)

เมื่อวันอังคารที่ 25 กรกฎาคม 2023 ที่ผ่านมา CISA ระบุว่า ระบบการจัดการอุปกรณ์พกพา (MDM) เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี เนื่องจากระบบดังกล่าวทำให้สามารถเข้าถึงอุปกรณ์พกพาหลายพันเครื่องในระดับสูง และกลุ่ม APT กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ MobileIron ดังนั้น CISA และ NCSC-NO จึงมีความกังวลเกี่ยวกับการโจมตีในเครือข่ายของทั้งภาครัฐ และเอกชน

CVE-2023-35078 เป็นช่องโหว่ authentication bypass ที่ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ EPMM โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลของนอร์เวย์ โดยจะเกี่ยวข้องกับช่องโหว่ directory traversal (CVE-2023-35081) ที่ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบ สามารถติดตั้ง web shells ได้

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าถึง API paths ซึ่งอาจนำไปสู่การขโมยข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) โดยข้อมูลที่ถูกเข้าถึงประกอบด้วย ชื่อ หมายเลขโทรศัพท์ และรายละเอียดอุปกรณ์มือถืออื่น ๆ

นอกจากนี้หน่วยงานคุ้มครองข้อมูลของนอร์เวย์ (DPA) ยังได้รับการแจ้งเตือนหลังจากการโจมตีที่กำหนดเป้าหมายไปยังเครือข่ายของหน่วยงานของนอร์เวย์ เนื่องจากแฮ็กเกอร์อาจเข้าถึง และขโมยข้อมูลที่สำคัญจากระบบของรัฐบาลได้

จากรายงานของ Shodan ปัจจุบันมีพอร์ทัลของผู้ใช้งาน MobileIron ที่เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 2,300 รายการ รวมทั้งยังมีความเกี่ยวข้องกับหน่วยงานรัฐบาลท้องถิ่น และรัฐของสหรัฐฯ

ประกาศแจ้งเตือนในครั้งนี้ เป็นการประกาศร่วมกันที่ออกโดยความร่วมมือกับศูนย์ความมั่นคงทางไซเบอร์แห่งชาตินอร์เวย์ (NCSC-NO) หลังจากมีคําสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐแก้ไขหนึ่งในช่องโหว่ทั้งสองที่ถูกใช้ในการโจมตีภายในวันอังคารที่ 15 สิงหาคม 2023

ในวันจันทร์ที่ 31 กรกฎาคม 2023 ที่ผ่านมา CISA ยังสั่งให้หน่วยงานของรัฐบาลกลางแก้ไขระบบของตนภายในวันที่ 21 สิงหาคม 2023 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ CVE-2023-35081

เมื่อสัปดาห์ที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าว ซึ่งมักถูกผู้ไม่หวังดีนำมาใช้ในการโจมตี และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง ด้วยเหตุนี้ทีมรักษาความปลอดภัย และผู้ดูแลระบบควรอัปเดตแพตซ์ของ Ivanti EPMM (MobileIron) ให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อรักษาความปลอดภัยของระบบจากการโจมตีอย่างต่อเนื่อง

ที่มา : bleepingcomputer

 

Microsoft key ที่ถูกขโมย ทำให้ Hacker สามารถเข้าถึง Microsoft cloud service ได้อย่างกว้างขวาง

Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม Hacker ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.

CISA แจ้งเตือนหน่วยงานในรัฐบาลเร่งแก้ไขช่องโหว่ของ driver ใน Android

U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ออกคำสั่งแจ้งเตือนไปยังหน่วยงานของรัฐบาลกลาง ให้เร่งทำการอัปเดตเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ของ Arm Mali GPU kernel driver ที่มีระดับความรุนแรงสูง โดยได้ถูกเพิ่มไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี KEV (Known Exploited Vulnerabilities) ซึ่งปัจจุบันได้มีการออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน Bifrost, Valhall GPU Kernel Driver r30p0 และ Midgard Kernel Driver r31p0 จึงได้แจ้งเตือนให้ผู้ใช้งานเร่งทำการอัปเดตโดยด่วน (more…)

CISA แจ้งให้หน่วยงานต่าง ๆ รีบทำการอัปเดตแพตซ์ช่องโหว่เพื่อป้องกันการโจมตีจาก spyware

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

CISA เปิดตัวเครื่องมือในการตรวจจับพฤติกรรมการโจมตีใน Microsoft cloud services

US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐได้เปิดตัวเครื่องมือ Open-Source Incident Response Tool ในการตรวจจับพฤติกรรมการโจมตีใน Microsoft cloud ในชื่อ “Untitled Goose Tool”

(more…)

Microsoft แจ้งเตือนช่องโหว่ใน Outlook กำลังถูกใช้ในการโจมตีจากแฮ็กเกอร์รัสเซียอยู่อย่างต่อเนื่อง

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

CISA แจ้งเตือนช่องโหว่ความรุนแรงระดับ Critical ในระบบควบคุมอุตสาหกรรม (ICS)

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรม Industrial Control Systems (ICS) แปดรายการ โดยได้แจ้งเตือนถึงช่องโหว่ร้ายแรงที่ส่งผลกระทบต่ออุปกรณ์ Delta Electronics และ Rockwell Automation

(more…)

CISA แจ้งเตือนพบช่องโหว่ Adobe ColdFusion กำลังถูกใช้ในการโจมตี

US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2021 และ 2018 ไปยังแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV) (more…)

CISA อัปเดตช่องโหว่ใหม่ 3 รายการใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่ Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565

หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565

นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว

ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)

ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

 

ที่มา : thehackernews

CISA ประกาศแจ้งเตือนเกี่ยวกับความสามารถที่เป็นอันตรายของ Royal Ransomware

The U.S. Cybersecurity and Infrastructure Security Agency หรือ CISA ได้แจ้งเตือนเกี่ยวกับความสามารถที่เป็นอันตรายของ Royal Ransomware ซึ่งมีการเปิดตัว และเริ่มมีการปฏิบัติการตั้งแต่เดือนกันยายน ปี 2565 โดยมีการกำหนดเป้าหมายไปยังหลากหลายภาคส่วนที่มีความสำคัญต่าง ๆ เช่น การสื่อสาร การศึกษา การดูแลสุขภาพ และการผลิต โดยใช้การโจมตีที่มีลักษณะเฉพาะตัว

รูปแบบการโจมตี

ในการโจมตีของ Royal Ransomware จากข่าวนี้นั้น จะเป็นการใช้ call-back phishing เพื่อส่ง ransomware ไปยังเหยื่อ โดยจะเป็นการส่งอีเมลที่น่าเชื่อถือที่จะหลอกให้ผู้รับคลิกลิงก์ หรือดาวน์โหลดไฟล์แนบที่มีมัลแวร์อยู่ หรือใช้ช่องโหว่ต่าง ๆ จาก Software ที่ยังไม่ได้รับการแก้ไข และจากนั้นเมื่อสามารถเข้าถึงเครือข่ายของเหยื่อได้แล้ว ก็จะทำการปิดการใช้งาน Antivirus software และจะทำการขโมยข้อมูลที่สำคัญที่ต้องการออกไป ก่อนที่จะทำการเข้ารหัสไฟล์บนเครื่องเหยื่อ โดยจะมีการเลือกเปอร์เซ็นต์การเข้ารหัสข้อมูล เพื่อหลบเลี่ยงการตรวจจับ
จากนั้นจะมีการโจมตีต่อไปยังภายในเครือข่ายของเหยื่อโดยการใช้ Cobalt Strike และ PsExec รวมถึงดำเนินการลบ Shadow Copy เพื่อไม่ให้สามารถกู้คืนระบบได้
หลังจากดำเนินการโจมตีเสร็จสิ้น ก็จะมีการเรียกค่าไถ่ตั้งแต่ 1-11 ล้านดอลลาร์สหรัฐ ทั้งนี้ Royal Ransomware ยังสามารถโจมตีเป้าหมายได้ทั้งระบบปฏิบัติการ Windows และ Linux อีกด้วย

แนวทางการป้องกัน

ไม่เปิดไฟล์แนบจากอีเมลจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัปเดต Software ต่าง ๆ ให้เป็นปัจจุบันอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีจากช่องโหว่ต่าง ๆ
จัดให้มีการ Awareness Training ให้กับพนักงานภายในองค์กร
ควรสำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บข้อมูลจากเครื่องต้นทาง
จากข่าวนี้มีการใช้เครื่องมือในการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย หากเป็นไปได้แนะนำให้มีการติดตั้ง EDR เพื่อ Detect และ Protect การโจมตีโดยการใช้เครื่องมือดังกล่าว

 

Ref : thehackernews