หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่างมัลแวร์เพื่อรับการวิเคราะห์โดย CISA ได้ (more…)

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดเผยว่า เครือข่ายองค์กรรัฐบาลที่ไม่เปิดเผยชื่อ ถูกเจาะผ่านบัญชีผู้ดูแลระบบที่เป็นของอดีตพนักงาน

ตัวแทนจาก CISA ระบุในรายงานความร่วมมือที่เผยแพร่เมื่อวันพฤหัสบดีพร้อม ๆ กับ Multi-State Information Sharing and Analysis Center (MS-ISAC) ว่า เหตุการณ์ดังกล่าวทำให้ผู้โจมตีสามารถเชื่อมต่อ VPN ของเหยื่อได้สำเร็จ โดยมีจุดประสงค์ที่จะรับส่งข้อมูลที่ดูเหมือนเป็นปกติเพื่อหลบเลี่ยงการตรวจจับ

มีการตั้งข้อสงสัยว่าผู้โจมตีได้รับข้อมูล credentials ภายหลังการละเมิดข้อมูล เนื่องจากมีข้อมูล credentials ปรากฏในช่องทางการเผยแพร่ข้อมูลบัญชีรั่วไหล โดยบัญชีผู้ดูแลระบบสามารถเข้าถึง virtualized SharePoint server และยังช่วยให้ผู้โจมตีเข้าถึงชุดข้อมูล credentials อื่นที่จัดเก็บไว้ในเซิร์ฟเวอร์ได้ ซึ่งมีสิทธิ์ผู้ดูแลระบบเครือข่ายภายในองค์กร และ Azure Active Directory (ปัจจุบันเรียกว่า Microsoft Entra ID)

สิ่งนี้ทำให้สามารถสำรวจข้อมูลภายในองค์กรของเหยื่อได้มากขึ้น และค้นหา Lightweight Directory Access Protocol (LDAP) ต่าง ๆ กับ domain controller ได้ ซึ่งผู้โจมตีที่อยู่เบื้องหลังเหตุการณ์นี้ยังไม่ถูกเปิดเผยในปัจจุบัน โดยจากการตรวจสอบเหตุการณ์นี้ มีหลักฐานที่แสดงให้เห็นว่าผู้โจมตีมีการย้ายระบบจาก on-premises ไปยัง Azure cloud

ผู้โจมตีเข้าถึงข้อมูลของโฮสต์ และผู้ใช้งานได้ในที่สุด และนำไปโพสต์ลงบน dark web เพื่อหาผลประโยชน์ทางการเงิน โดยมีข้อความแจ้งเตือนให้องค์กรรีเซ็ตรหัสผ่านสำหรับผู้ใช้ทั้งหมด ปิดการใช้งานบัญชีผู้ดูแลระบบ รวมถึงยกเลิกสิทธิ์การเพิ่มบัญชีที่สอง

เป็นที่น่าสังเกตว่าทั้งสองบัญชีไม่ได้เปิดใช้งาน MFA ซึ่งย้ำให้เห็นถึงความจำเป็นในการรักษาความปลอดภัยบัญชีพิเศษที่ให้สิทธิ์การเข้าถึงระบบที่สำคัญ โดยมีการแนะนำให้ใช้หลักการ least privilege และสร้างบัญชีผู้ดูแลระบบแยกต่างหาก เพื่อแบ่งกลุ่มการเข้าถึงข้อมูลภายในองค์กร และคลาวด์ เป็นสัญญาณบ่งชี้ว่าผู้โจมตีใช้ประโยชน์จากบัญชีที่ถูกต้อง รวมถึงบัญชีของอดีตพนักงานที่ยังไม่ได้ถูกลบออกจาก Active Directory (AD) เพื่อเข้าถึงองค์กรโดยไม่ได้รับอนุญาต

CISA ระบุเพิ่มเติมว่า "บัญชี ซอฟต์แวร์ และบริการที่ไม่จำเป็นในเครือข่ายจะสร้างช่องทางเพิ่มเติมเพื่อให้ผู้โจมตีสามารถเข้าถึงระบบได้ ใน Azure AD ผู้ใช้ทุกคนสามารถลงทะเบียน และจัดการแอปพลิเคชันที่พวกเขาสร้างขึ้นได้ การตั้งค่าเริ่มต้นเหล่านี้สามารถทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่มีความสำคัญ และโจมตีต่อไปภายในเครือข่ายได้ นอกจากนี้ ผู้ใช้ที่สร้าง Azure AD จะกลายเป็นผู้ดูแลระบบโดยอัตโนมัติสำหรับ tenant นั้น ซึ่งอาจทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ในการดำเนินการที่เป็นอันตรายได้"

ที่มา : https://thehackernews.

U.S. Cybersecurity and Infrastructure Security Agency หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกมาเรียกร้องให้ผู้ผลิตเลิกใช้ Default Password

เนื่องจากมีความเสี่ยงที่ Hacker จะใช้ Default Password ดังกล่าวในการโจมตีเพื่อติดตั้ง Backdoor เพื่อใช้ในการเข้าถึงอุปกรณ์ที่มีช่องโหว่ที่เข้าถึงได้จากอินเทอร์เน็ต โดยทั่วไปแล้ว Default Password จะถูกใช้เพื่อปรับปรุงกระบวนการผลิต หรือช่วยให้ผู้ดูแลระบบสามารถดำเนินการกับอุปกรณ์จำนวนมากภายในสภาพแวดล้อมขององค์กรได้ง่ายขึ้น แต่หากไม่ได้เปลี่ยน Default Password ก็อาจเป็นความเสี่ยงด้านความปลอดภัยที่ Hacker สามารถใช้เพื่อหลีกเลี่ยงมาตรการตรวจสอบสิทธิ์ ซึ่งอาจส่งผลต่อความปลอดภัยของเครือข่ายทั้งหมดขององค์กรได้เช่นเดียวกัน

(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

เมื่อไม่นานมานี้ สำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของอเมริกา (CISA) ได้เพิ่มช่องโหว่ทางด้านความปลอดภัยที่กำลังถูกนำมาใช้ในการโจมตีอยู่ในปัจจุบันบน Microsoft .NET และ Visual Studio ลงใน KEV Catalog โดยอ้างอิงจากหลักฐานการพบการโจมตีที่เกิดขึ้น
ช่องโหว่ CVE-2023-38180 (คะแนน CVSS: 7.5) เป็นช่องโหว่ denial-of-service (DoS) ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ .NET และ Visual Studio ซึ่งช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วโดย Microsoft จากการอัปเดต Patch Tuesday ในเดือนสิงหาคม 2023 เมื่อต้นสัปดาห์นี้ โดยได้มีการประเมินว่าจะพบการโจมตีช่องโหว่นี้เพิ่มขึ้นเรื่อย ๆ และติดแท็กช่องโหว่นี้ไว้ว่า “Exploitation More Likely”

ในขณะที่ปัจจุบันยังไม่มีรายละเอียดเกี่ยวกับการโจมตีที่แน่ชัด แต่ Microsoft ได้รับรายงานว่ามี Proof-of-Concept (PoC) สำหรับช่องโหว่ออกมาแล้ว นอกจากนี้ยังพบว่าการโจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้โดยไม่ต้องได้รับการอนุญาต หรือการตอบโต้จากผู้ใช้งาน
Microsoft ระบุว่าได้มีการทดสอบ Proof-of-Concept (PoC) และพบว่าการโจมตีไม่ได้ผลกับระบบส่วนใหญ่ รวมทั้งไม่สามารถใช้ได้กับทุกสถานการณ์ ซึ่ง Proof-of-Concept (PoC) จะต้องได้รับการแก้ไขจากผู้โจมตีที่มีทักษะ และความเชี่ยวชาญเท่านั้น
สำหรับซอฟต์แวร์เวอร์ชันที่ได้รับผลกระทบ ได้แก่ ASP.NET Core 2.1, .NET 6.0, .NET 7.0, Microsoft Visual Studio 2022 เวอร์ชัน 17.2, Microsoft Visual Studio 2022 เวอร์ชัน 17.4 และ Microsoft Visual Studio 2022 เวอร์ชัน 17.6

ดังนั้น เพื่อลดความเสี่ยงที่อาจเกิดขึ้น CISA จึงแนะนำให้หน่วยงาน Federal Civilian Executive Branch (FCEB) เร่งอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ภายในวันที่ 30 สิงหาคม 2023

ที่มา: thehackernews.

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้ออกประกาศเตือน 2 ช่องโหว่ใหม่ใน Endpoint Manager Mobile (EPMM) ของ Ivanti (เดิมชื่อ MobileIron Core)

เมื่อวันอังคารที่ 25 กรกฎาคม 2023 ที่ผ่านมา CISA ระบุว่า ระบบการจัดการอุปกรณ์พกพา (MDM) เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี เนื่องจากระบบดังกล่าวทำให้สามารถเข้าถึงอุปกรณ์พกพาหลายพันเครื่องในระดับสูง และกลุ่ม APT กำลังโจมตีโดยใช้ประโยชน์จากช่องโหว่ MobileIron ดังนั้น CISA และ NCSC-NO จึงมีความกังวลเกี่ยวกับการโจมตีในเครือข่ายของทั้งภาครัฐ และเอกชน

CVE-2023-35078 เป็นช่องโหว่ authentication bypass ที่ทำให้ผู้โจมตีสามารถสร้างบัญชีผู้ดูแลระบบ EPMM โดยมุ่งเป้าไปที่หน่วยงานรัฐบาลของนอร์เวย์ โดยจะเกี่ยวข้องกับช่องโหว่ directory traversal (CVE-2023-35081) ที่ทำให้ผู้โจมตีที่มีสิทธิ์ผู้ดูแลระบบ สามารถติดตั้ง web shells ได้

โดยหากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าถึง API paths ซึ่งอาจนำไปสู่การขโมยข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) โดยข้อมูลที่ถูกเข้าถึงประกอบด้วย ชื่อ หมายเลขโทรศัพท์ และรายละเอียดอุปกรณ์มือถืออื่น ๆ

นอกจากนี้หน่วยงานคุ้มครองข้อมูลของนอร์เวย์ (DPA) ยังได้รับการแจ้งเตือนหลังจากการโจมตีที่กำหนดเป้าหมายไปยังเครือข่ายของหน่วยงานของนอร์เวย์ เนื่องจากแฮ็กเกอร์อาจเข้าถึง และขโมยข้อมูลที่สำคัญจากระบบของรัฐบาลได้

จากรายงานของ Shodan ปัจจุบันมีพอร์ทัลของผู้ใช้งาน MobileIron ที่เข้าถึงได้บนอินเทอร์เน็ตมากกว่า 2,300 รายการ รวมทั้งยังมีความเกี่ยวข้องกับหน่วยงานรัฐบาลท้องถิ่น และรัฐของสหรัฐฯ

ประกาศแจ้งเตือนในครั้งนี้ เป็นการประกาศร่วมกันที่ออกโดยความร่วมมือกับศูนย์ความมั่นคงทางไซเบอร์แห่งชาตินอร์เวย์ (NCSC-NO) หลังจากมีคําสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐแก้ไขหนึ่งในช่องโหว่ทั้งสองที่ถูกใช้ในการโจมตีภายในวันอังคารที่ 15 สิงหาคม 2023

ในวันจันทร์ที่ 31 กรกฎาคม 2023 ที่ผ่านมา CISA ยังสั่งให้หน่วยงานของรัฐบาลกลางแก้ไขระบบของตนภายในวันที่ 21 สิงหาคม 2023 เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ CVE-2023-35081

เมื่อสัปดาห์ที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าว ซึ่งมักถูกผู้ไม่หวังดีนำมาใช้ในการโจมตี และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง ด้วยเหตุนี้ทีมรักษาความปลอดภัย และผู้ดูแลระบบควรอัปเดตแพตซ์ของ Ivanti EPMM (MobileIron) ให้เป็นเวอร์ชันล่าสุดโดยทันที เพื่อรักษาความปลอดภัยของระบบจากการโจมตีอย่างต่อเนื่อง

ที่มา : bleepingcomputer

 

Microsoft เปิดเผยเมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมาว่า พบการโจมตีไปยังบัญชี Exchange Online และ Azure Active Directory (AD) ขององค์กรต่าง ๆ ประมาณ 24 องค์กร โดยกลุ่ม Hacker ชาวจีนในชื่อ Storm-0558 ซึ่งได้ขโมย Microsoft consumer signing key ทำให้สามารถเข้าถึงบัญชี Exchange Online และ Outlook.

U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ออกคำสั่งแจ้งเตือนไปยังหน่วยงานของรัฐบาลกลาง ให้เร่งทำการอัปเดตเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ของ Arm Mali GPU kernel driver ที่มีระดับความรุนแรงสูง โดยได้ถูกเพิ่มไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี KEV (Known Exploited Vulnerabilities) ซึ่งปัจจุบันได้มีการออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน Bifrost, Valhall GPU Kernel Driver r30p0 และ Midgard Kernel Driver r31p0 จึงได้แจ้งเตือนให้ผู้ใช้งานเร่งทำการอัปเดตโดยด่วน (more…)

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer