FBI, CISA และ NSA เปิดเผยช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2023

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ FBI, NSA และ Five Eyes ได้เผยแพร่รายชื่อช่องโหว่ที่ถูกใช้ในการโจมตีอยู่อย่างต่อเนื่อง 15 อันดับแรกตลอดทั้งปีที่ผ่านมา ซึ่งส่วนใหญ่ถูกโจมตีครั้งแรกในลักษณะ zero-day (more…)

Citrix แจ้งเตือนผู้ดูแลระบบเร่งแก้ไขช่องโหว่ PuTTY SSH client

Citrix แจ้งลูกค้าให้เร่งแก้ไขช่องโหว่ PuTTY SSH client ด้วยตนเอง เนื่องจากโหว่ดังกล่าวอาจทำให้ Hacker ขโมย private SSH key ของผู้ดูแลระบบ XenCenter ได้ (more…)

Citrix NetScaler แจ้งเตือนกลุ่ม Ransomware กำลังใช้ช่องโหว่ระดับ Critical ในการโจมตี

Citrix NetScaler ที่ยังไม่ได้รับการอัปเดตแพตซ์ และเข้าถึงได้จากกับอินเทอร์เน็ต กำลังตกเป็นเป้าหมายของผู้โจมตีที่คาดว่าเป็นกลุ่ม ransomware

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos กำลังติดตามการดำเนินการของกลุ่มผู้โจมตีภายใต้ชื่อ STAC466

โดยกลุ่มผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่ส่งผลกระทบต่อ NetScaler ADC และ Gateway servers ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน

ในการโจมตีครั้งหนึ่งที่ถูกตรวจพบในช่วงกลางเดือนสิงหาคม 2023 พบว่า ช่องโหว่ดังกล่าวได้ถูกใช้ในการดำเนินการโจมตีระดับโดเมนรวมถึงการ injecting payloads ลงในไฟล์ของระบบปฏิบัติการ เช่น Windows Update Agent (wuauclt.

Citrix NetScaler ADC และเซิร์ฟเวอร์เกตเวย์หลายร้อยเครื่องถูกแฮ็กจากการโจมตีทางไซเบอร์ครั้งใหญ่

รายงานจาก Shadowserver Foundation พบว่า เซิร์ฟเวอร์ Citrix NetScaler ADC และเกตเวย์จำนวนมากถูกโจมตีโดยผู้ไม่หวังดีเพื่อทำการติดตั้ง web shells
Shadowserver ระบุว่าการโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่ code injection ระดับ Critical ที่อาจจะนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการยืนยันตัวตน
ก่อนหน้านี้ การโจมตีโดยใช้ประโยชน์จากช่องโหว่ CVE-2023-3519 เพื่อทำการติดตั้ง web shells ได้รับการเปิดเผยโดยหน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ (CISA) ซึ่งพบว่าในเดือนมิถุนายน 2566 มีการโจมตีที่มุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญ

โดยปัจจุบันช่องโหว่ดังกล่าวได้รับการแก้ไขจาก Citrix ไปเรียบร้อยแล้วเมื่อช่วงเดือนที่ผ่านมา
IP Address ที่ได้รับผลกระทบจำนวนมากที่สุดอยู่ในเยอรมนี รองลงมาคือฝรั่งเศส สวิตเซอร์แลนด์ อิตาลี สวีเดน สเปน ญี่ปุ่น จีน ออสเตรีย และบราซิล

รายงานดังกล่าวถูกเปิดเผยภายหลังจากที่ GreyNoise เคยระบุว่ามีการตรวจพบ IP Address 3 รายการที่พยายามใช้ประโยชน์จากช่องโหว่ CVE-2023-24489 (คะแนน CVSS: 9.1) ซึ่งเป็นช่องโหว่ระดับ Critical อีกรายการหนึ่งในซอฟต์แวร์ Citrix ShareFile ที่ทำให้สามารถอัปโหลดไฟล์ได้ตามที่ต้องการโดยไม่ต้องผ่านการยืนยันตัวตน และยังสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ โดยช่องโหว่นี้ได้รับการแก้ไขแล้วใน ShareFile storage zones controller เวอร์ชัน 5.11.24 และใหม่กว่า
โดยล่าสุดเมื่อวันที่ 7 สิงหาคม 2023 Shadowserver Foundation ระบุว่า NetScaler ADC และ Gateway ที่มีช่องโหว่ CVE-2023-3519 เกือบ 7,000 รายการ กำลังถูกโจมตีเพื่อติดตั้ง PHP web shells บนเซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกล

ที่มา : thehackernews.

Citrix server กว่า 15,000 เครื่อง เสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-3519

Citrix Netscaler ADC และ Gateway server หลายพันตัวที่เข้าถึงได้จากอินเทอร์เน็ต มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-3519 ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

นักวิจัยด้านความปลอดภัยจาก Shadowserver Foundation ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่อุทิศตนเพื่อยกระดับความปลอดภัยทางอินเทอร์เน็ต เปิดเผยการค้นพบว่ามีอุปกรณ์ Citrix Netscaler ADC และ Gateway server อย่างน้อย 15,000 เครื่องที่ถูกระบุว่าอาจจะกำลังมีความเสี่ยงต่อการถูกโจมตีโดยใช้ช่องโหว่ CVE-2023-3519 จากข้อมูลเวอร์ชันของระบบ (more…)

Citrix แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจทำให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

Citrix ออกมาเตือนผู้ใช้งานให้รีบอัปเดตแพตซ์ด้านความปลอดภัยเพื่อแก้ไขช่องโหว่บน Citrix Application Delivery Management (ADM) ที่อาจส่งผลให้ผู้โจมตีสามารถรีเซ็ตรหัสผ่านของ Admin ได้

Citrix ADM เป็น web-base solution ที่ทำให้ผู้ดูแลระบบสามารถบริหารจัดการระบบของ Citrix ทั้งฝั่ง On-premises และบนคลาวด์ ไม่ว่าจะเป็น Citrix Application Delivery Controller (ADC), Citrix Gateway, หรือ Citrix Secure Web Gateway

Florian Hauser จาก Code White เป็นผู้รายงานช่องโหว่ดังกล่าว ซึ่งมีหมายเลข CVE-2022-27511 Improper Access Control weakness โดยช่องโหว่ดังกล่าวจะมีผลกระทบกับทั้ง Citrix ADM server และ Citrix ADM agent เช่น Citrix ADM เวอร์ชันที่เก่ากว่า 13.0-85.19 และ Citrix ADM เวอร์ชันที่เก่ากว่า 13.1-21.53 โดยหากผู้โจมตีสามารถโจมตีได้สำเร็จจะสามารถสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบได้

โดย Citrix ระบุว่า "ผลกระทบที่เกิดขึ้นหลังจากการสั่งรีเซ็ตรหัสผ่านของผู้ดูแลระบบคือ เมื่ออุปกรณ์ถูกรีบูทขึ้นมาใหม่ ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านทาง SSH โดยใช้ค่ารหัสผ่านเริ่มต้นของบัญชีผู้ดูแลระบบได้"

โดยผู้ใช้งานที่ใช้ Citrix ADM เวอร์ชัน cloud จะได้รับการแก้ไขโดยอัตโนมัติ แต่หากมีการใช้งานในเวอร์ชัน on-premise แนะนำผู้ใช้งานรีบอัปเดตแพตซ์โดยเร็วที่สุด โโย Citrix ยังแนะนำให้มีการจำกัดการเข้าถึง Citrix ADM จากเครื่องที่ได้รับอนุญาตเท่านั้น

ที่มา: bleepingcomputer.

เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

กลุ่มแฮกเกอร์ชาวจีนต้องสงสัยในการขโมยข้อมูลผู้โดยสารของสายการบิน

NCC Group และบริษัทในเครือ Fox-IT ได้ออกรายงานถึงกลุ่มแฮกเกอร์ชาวจีนที่ต้องสงสัยที่มีชื่อกลุ่มว่า “Chimera” ได้โจมตีอุตสาหกรรมสายการบินในช่วงไม่กี่ปีที่ผ่านมา โดยมีเป้าหมายเพื่อการขโมยข้อมูลผู้โดยสารและเพื่อติดตามการเคลื่อนไหวของบุคคลที่น่าสนใจ

ตามรายงานของ NCC Group และ Fox-IT ที่ได้สังเกตเห็นกลุ่มแฮกเกอร์ต้องสงสัยนี้ในระหว่างการรับมือกับเหตุการณ์การโจมตีต่าง ๆ (incident response) ระหว่างเดือนตุลาคม 2019 ถึงเมษายน 2020 โดยเป้าหมายของการโจมตีเหล่านี้จะพุ่งเป้าไปที่บริษัทเซมิคอนดักเตอร์และบริษัทในอุตสาหกรรมสายการบินในหลายประเทศและไม่ใช่เฉพาะในเอเชีย

NCC และ Fox-IT กล่าวต่อว่าได้พบไฟล์ DLL ที่ออกแบบมาเป็นพิเศษถูกใช้ในการดึงข้อมูล Passenger Name Records (PNR) ในระหว่างที่ทางบริษัทเข้าไปรับมือกับสถานะการการโจมตีในบริษัทในอุตสาหกรรมสายการบิน

กลุ่ม Chimera โจมตีโดยเริ่มต้นด้วยการรวบรวมข้อมูล Credentials เพื่อเข้าสู่ระบบของเป้าหมาย โดยการใช้ข้อมูลที่ถูกซื้อขายในฟอรัมแฮกเกอร์หรือข้อมูลที่ถูกรั่วไหลจากฟอรัมต่างๆ จากนั้นจะใช้เทคนิค Credential stuffing หรือ Password spraying ในเข้าสู่บัญชีของพนักงานที่อยู่ภายในบริษัทที่ตกเป้าหมาย เช่น บัญชีอีเมล และเมื่อสำเร็จแล้วจะทำการค้นหารายละเอียดของการเข้าสู่ระบบสำหรับขององค์กรเช่นระบบ Citrix และอุปกรณ์ VPN เป็นต้น เมื่อสามารถอยู่ในเครือข่ายภายในได้ผู้บุกรุกมักจะติดตั้ง Cobalt Strike ซึ่งเป็นเครื่องมือในการทดสอบการเจาะระบบ จากนั้นจะทำการเคลื่อนย้ายไปยังระบบต่าง ๆ ให้ได้มากที่สุดโดยค้นหาทรัพย์สินทางปัญญา (Intellectual Property) และรายละเอียดผู้โดยสาร ซึ่งเมื่อพบและรวบรวมข้อมูลแล้ว ข้อมูลเหล่านี้ได้จะถูกอัปโหลดไปยังบริการคลาวด์สาธารณะเช่น OneDrive, Dropbox หรือ Google Drive เพื่อป้องกันการตรวจสอบหรือบล็อกภายในเครือข่ายที่ถูกละเมิด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่างๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผุ้ประสงค์ร้าย

ที่มา: zdnet

แจ้งเตือนช่องโหว่ใหม่ใน Citrix SD-WAN ทำ Remote Code Execution ได้

Citrix ออกประกาศและแพตช์สำหรับ 3 ช่องโหว่ใหม่ในแพลตฟอร์ม Citrix SD-WAN ได้แก่ CVE-2020-8721, CVE-2020-8272 และ CVE-2020-8273

ในส่วนของ 2 ช่องโหว่แรกนั้น ช่องโหว่ CVE-2020-8271 เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีสามารถโจมตีด้วยวิธีการ Path traversal แบบไม่ต้องมีการยืนยันตัวตนรวมไปถึงทำ Shell injection ได้ ช่องโหว่ CVE-2020-8272 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถข้ามผ่านการระบุตัวตนได้ การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อแฮกเกอร์สามารถเข้าถึงหมายเลขไอพีแอดเดรสขา Management หรือ FQDN ของระบบ SD-WAN ได้

สำหรับช่องโหว่ที่สามนั้น ช่องโหว่ CVE-2020-8273 เป็นช่องโหว่ในลักษณะ Shell injection ซึ่งทำให้ผู้โจมตีสามารถรันคำสั่งของระบบได้ เงื่อนไขการโจมตีของช่องโหว่นี้อยู่ที่ผู้โจมตีจะต้องผ่านการพิสูจน์ตัวตนเป็นผู้ใช้งานในระบบก่อน

ช่องโหว่ทั้งหมดส่งผลกระทบต่อ Citrix SD-WAN Center ก่อนเวอร์ชัน 11.2.2, 11.1.2b และ 10.2.8 และยังไม่มีการประเมินคะแนนตามแนวทางของ CVSS ออกมา อย่างไรก็ตามขอให้ผู้ใช้งานติดตามและดำเนินการอัปเดตแพตช์ตามความเหมาะสมโดยด่วนด้วยลักษณะของผลกระทบจากช่องโหว่ที่สูง

ที่มา: threatpost

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.