Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐได้เปิดตัวเครื่องมือ Open-Source Incident Response Tool ในการตรวจจับพฤติกรรมการโจมตีใน Microsoft cloud ในชื่อ “Untitled Goose Tool”

(more…)

Microsoft ระบุ Indicators of compromise (IoCs) ที่เกี่ยวข้องกับการโจมตีจากช่องโหว่ของ Outlook ที่เพิ่งได้รับการแก้ไขไปเมื่อต้นเดือนมีนาคมที่ผ่านมา

โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-23397 (CVSS score: 9.8) เป็นช่องโหว่ระดับ Critical เกี่ยวกับการยกระดับสิทธิ์ ซึ่งถูกใช้ในการโจมตีเพื่อขโมย NT Lan Manager (NTLM) hashes โดยไม่ต้องมีการดำเนินการใด ๆ จากผู้ใช้งาน

ช่องโหว่นี้จะทำให้ Net-NTLMv2 hash ของเหยื่อถูกขโมยออกไป ซึ่งผู้โจมตีสามารถนำไปใช้กับบริการอื่น ๆ เพื่อใช้ในการยืนยันตัวตนได้
(more…)

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ได้ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรม Industrial Control Systems (ICS) แปดรายการ โดยได้แจ้งเตือนถึงช่องโหว่ร้ายแรงที่ส่งผลกระทบต่ออุปกรณ์ Delta Electronics และ Rockwell Automation

(more…)

US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Adobe ColdFusion เวอร์ชัน 2021 และ 2018 ไปยังแคตตาล็อกของช่องโหว่ที่กำลังถูกใช้ในการโจมตี Known Exploited Vulnerabilities (KEV) (more…)

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่ Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565

หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565

นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว

ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)

ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน

บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

 

ที่มา : thehackernews

The U.S. Cybersecurity and Infrastructure Security Agency หรือ CISA ได้แจ้งเตือนเกี่ยวกับความสามารถที่เป็นอันตรายของ Royal Ransomware ซึ่งมีการเปิดตัว และเริ่มมีการปฏิบัติการตั้งแต่เดือนกันยายน ปี 2565 โดยมีการกำหนดเป้าหมายไปยังหลากหลายภาคส่วนที่มีความสำคัญต่าง ๆ เช่น การสื่อสาร การศึกษา การดูแลสุขภาพ และการผลิต โดยใช้การโจมตีที่มีลักษณะเฉพาะตัว

รูปแบบการโจมตี

ในการโจมตีของ Royal Ransomware จากข่าวนี้นั้น จะเป็นการใช้ call-back phishing เพื่อส่ง ransomware ไปยังเหยื่อ โดยจะเป็นการส่งอีเมลที่น่าเชื่อถือที่จะหลอกให้ผู้รับคลิกลิงก์ หรือดาวน์โหลดไฟล์แนบที่มีมัลแวร์อยู่ หรือใช้ช่องโหว่ต่าง ๆ จาก Software ที่ยังไม่ได้รับการแก้ไข และจากนั้นเมื่อสามารถเข้าถึงเครือข่ายของเหยื่อได้แล้ว ก็จะทำการปิดการใช้งาน Antivirus software และจะทำการขโมยข้อมูลที่สำคัญที่ต้องการออกไป ก่อนที่จะทำการเข้ารหัสไฟล์บนเครื่องเหยื่อ โดยจะมีการเลือกเปอร์เซ็นต์การเข้ารหัสข้อมูล เพื่อหลบเลี่ยงการตรวจจับ
จากนั้นจะมีการโจมตีต่อไปยังภายในเครือข่ายของเหยื่อโดยการใช้ Cobalt Strike และ PsExec รวมถึงดำเนินการลบ Shadow Copy เพื่อไม่ให้สามารถกู้คืนระบบได้
หลังจากดำเนินการโจมตีเสร็จสิ้น ก็จะมีการเรียกค่าไถ่ตั้งแต่ 1-11 ล้านดอลลาร์สหรัฐ ทั้งนี้ Royal Ransomware ยังสามารถโจมตีเป้าหมายได้ทั้งระบบปฏิบัติการ Windows และ Linux อีกด้วย

แนวทางการป้องกัน

ไม่เปิดไฟล์แนบจากอีเมลจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัปเดต Software ต่าง ๆ ให้เป็นปัจจุบันอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีจากช่องโหว่ต่าง ๆ
จัดให้มีการ Awareness Training ให้กับพนักงานภายในองค์กร
ควรสำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บข้อมูลจากเครื่องต้นทาง
จากข่าวนี้มีการใช้เครื่องมือในการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย หากเป็นไปได้แนะนำให้มีการติดตั้ง EDR เพื่อ Detect และ Protect การโจมตีโดยการใช้เครื่องมือดังกล่าว

 

Ref : thehackernews

หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่สามรายการไปในแคตตาล็อก Known Exploited Vulnerabilities (KEV) โดยอ้างถึงหลักฐานของการพบการตั้งเป้าหมายการโจมตีไปที่ช่องโหว่ดังกล่าว

ช่องโหว่ TerraMaster (TNAS)

CVE-2022-24990 เป็นช่องโหว่ที่ส่งผลต่ออุปกรณ์จัดเก็บข้อมูลกับเครือข่าย TerraMaster network-attached storage (TNAS) ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ด้วยสิทธิ์สูงสุด ซึ่งช่องโหว่ CVE-2022-24990 ได้รับการเปิดเผยโดย Octagon Networks บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ของเอธิโอเปียในเดือนมีนาคม 2565 รวมไปถึงหน่วยงานรัฐบาลของสหรัฐฯ และเกาหลีใต้ได้ระบุว่า ช่องโหว่ดังกล่าวได้ถูกใช้โดย Hacker ชาวเกาหลีเหนือ เพื่อโจมตีหน่วยงานด้านสุขภาพ และโครงสร้างพื้นฐานที่สำคัญด้วยแรนซัมแวร์

ช่องโหว่ Intel ethernet

CVE-2015-2291 เป็นช่องโหว่ที่ส่งผลต่อไดรเวอร์ Intel ethernet สำหรับ Windows (IQVW32.sys และ IQVW64.sys) ซึ่งอาจทำให้อุปกรณ์ที่ได้รับผลกระทบเข้าสู่สถานะ Denial-of-Service state (DOS) โดยช่องโหว่ CVE-2015-2291 ได้รับการเปิดเผยโดย CrowdStrike ในเดือนมกราคม 2023 โดยเกี่ยวข้องกับการโจมตีจาก Scattered Spider (หรือที่รู้จักในชื่อ Roasted 0ktapus หรือ UNC3944) ซึ่งสามารถที่จะใช้วิธีการที่เรียกว่า Bring Your Own Vulnerable Driver (BYOVD) เพื่อหลีกเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยที่ติดตั้งบนเครื่องเป้าหมายได้ รวมถึงยังพบว่าเทคนิคดังกล่าวได้ถูกนำไปใช้โดยกลุ่ม Hacker จำนวนมาก เช่น BlackByte, Earth Longzhi, Lazarus Group และ OldGremlin

ช่องโหว่ GoAnywhere MFT

CVE-2023-0669 เป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ที่ค้นพบใน GoAnywhere MFT managed file transfer application ของ Fortra โดยขณะนี้ ทาง Fortra ได้ปล่อยตัวอัปเดตเพื่อป้องกันช่องโหว่ดังกล่าวออกมาแล้ว จึงได้เตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตโดยเร็ว

รวมไปถึง Huntress บริษัทผู้ให้บริการด้านความปลอดภัย ได้พบการนำช่องโหว่ CVE-2023-0669 ไปใช้ร่วมกับ TrueBot ซึ่งเป็นมัลแวร์บน Windows ที่มาจากกลุ่ม Silence และแชร์การเชื่อมต่อกับ Evil Corp ซึ่งมาจากกลุ่ม Hacker ชาวรัสเซียในชื่อ TA505

ที่มา : thehackernews

วันจันทร์ที่ 28 พฤศจิกายน 2022 ที่ผ่านมา สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ที่ส่งผลกระทบต่อ Oracle Fusion Middleware ลงในแค็ตตาล็อกช่องโหว่ (KEV) โดยช่องโหว่มีหมายเลข CVE-2021-35587 มีคะแนน CVSS 9.8 โดยส่งผลกระทบต่อ Oracle Access Manager (OAM) เวอร์ชัน 11.1.2.3.0, 12.2.1.3.0 และ 12.2.1.4.0 ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนมีสิทธิ์เข้าถึงเครือข่ายได้ทั้งหมด และใช้คำสั่งในอินสแตนซ์ประมวลผลคำสั่งจากระยะไกลในการเข้าถึงข้อมูล นอกจากนี้ยังอนุญาตให้ผู้โจมตีเข้าถึงเซิร์ฟเวอร์ OAM เป็นซอฟต์แวร์จากค่าย Oracle ซึ่งมีหน้าที่ในการช่วยจัดการกระบวนการพิสูจน์ และยืนยันตัวตนในรูปแบบของ Single Sign-On ในหลายรูปแบบอุปกรณ์

Greynoise ผู้เชี่ยวชาญด้าน Cybersecurity ยังเห็นว่าความพยายามในการโจมตีนั้นดำเนินไปอย่างต่อเนื่อง และมาจากสหรัฐอเมริกา จีน สิงคโปร์ และแคนาดา นอกจากนี้ CISA ที่เพิ่มรายการลงในแค็ตตาล็อกช่องโหว่ (KEV) ยังเป็นช่องโหว่ heap buffer overflow ที่พึ่งได้รับการแก้ไขในเว็บเบราว์เซอร์ Google Chrome (CVE-2022-4135) ซึ่งผู้ให้บริการอินเทอร์เน็ตยักษ์ใหญ่ยอมรับว่าถูกโจมตีจริง ดังนั้นหน่วยงานของรัฐบาลกลางจะต้องอัปเดตแพตช์ภายในวันจันทร์ที่ 19 ธันวาคม 2022 เพื่อรักษาความปลอดภัยเครือข่ายจากภัยคุกคามที่อาจเกิดขึ้นในครั้งนี้

ที่มา : thehackernews

CISA เตือนผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ Windows Print Spooler

Cybersecurity and Infrastructure Security Agency (CISA) เพิ่ม 3 ช่องโหว่ความปลอดภัยใหม่ รวมถึงช่องโหว่ในการยกระดับสิทธิ์ใน Windows Print Spooler

ช่องโหว่ที่มีความรุนแรงสูงนี้ (CVE-2022-22718) ส่งผลกระทบกับ Windows ทุกรุ่น ซึ่ง Microsoft ออกแพตซ์แก้ไขมาแล้วในช่วงเดือนกุมภาพันธ์ 2022

ข้อมูลที่ Microsoft เผยแพร่เกี่ยวกับช่องโหว่นี้คือ ผู้โจมตีสามารถจะสามารถโจมตีได้ไม่ยากเมื่อเข้าถึงเครื่องเหยื่อได้ และไม่จำเป็นต้องให้เหยื่อดำเนินการใดๆก่อนเพื่อให้การโจมตีสำเร็จ

Microsoft เคยแก้ไขช่องโหว่อื่นๆ ของ Windows Print Spooler ในช่วง 12 เดือนที่ผ่านมา รวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ PrintNightmare

หลังจากรายละเอียด และ POC Exploit สำหรับ PrintNightmare รั่วไหลโดยไม่ตั้งใจ CISA ได้เตือนผู้ดูแลระบบให้ปิดใช้งานบริการ Windows Print Spooler บน Domain Controller และระบบที่ไม่ได้ใช้งาน เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

เมื่อสัปดาห์ที่แล้ว CISA ได้เพิ่มช่องโหว่การยกระดับสิทธิ์ใน Log File System Driver ของ Windows ลงในรายการช่องโหว่ที่เริ่มพบเห็นการโจมตี ซึ่งเป็นช่องโหว่ที่ถูกพบโดย CrowdStrike และสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (NSA) และถูกแก้ไขโดย Microsoft ในช่วงแพทช์วันอังคารนี้

(more…)