CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

แฮกเกอร์ประกาศขายรายการของบัญชีผู้ใช้และรหัสผ่านรวมไปถึงรายการไอพีแอดเดรสของ Pulse Secure VPN กว่า 900 รายการลงในบอร์ดใต้ดินสำหรับซื้อขายข้อมูลวันนี้ โดยอ้างอิงจากการตรวจสอบโดย ZDNet รายการข้อมูลนี้เป็นข้อมูลจริง ในเบื้องต้นเชื่อว่ารายการข้อมูลดังกล่าวมีที่มาจากการโจมตีช่องโหว่ CVE-2019-11510

ในรายการข้อมูลนี้ประกอบไปด้วย

หมายเลขไอพีแอดเดรสและโดเมนเนมของ Pulse Secure VPN
รุ่นของเฟิร์มแวร์ Pulse Secure VPN
SSH key
รายการของบัญชีผู้ใช้และแฮชของรหัสผ่านที่อยู่ใน Pulse Secure VPN
รายละเอียดบัญชีของผู้ดูแลระบบ
ข้อมูลการเข้าใช้งาน VPN รวมไปถึง username, password และ session cookie

จากการตรวจสอบโดยไอ-ซีเคียว ในรายการดังกล่าวมีข้อมูลของหน่วยงานไทยระดับกรมและกระทรวง รวมไปถึงหน่วยงานกำกับดูแลและผู้ให้บริการ MSP ชื่อดังในไทยอยู่ด้วย

ทีม Intelligent Resposne จะประสานงานกับทาง ThaiCERT เพื่อทำการแจ้งเตือนและให้คำแนะนำต่อไป

ดูคำแนะนำเพิ่มเติมเกี่ยวกับการจัดการความเสี่ยงของช่องโหว่ได้ที่: https://www.

พบแฮกเกอร์โจมตีช่องโหว่ใน Webmin, Pulse Secure VPN และ Fortinet VPN
บริษัททั่วโลกมีความเสี่ยงหลังจากแฮกเกอร์เริ่มโจมตีจากสามผลิตภัณฑ์ที่เป็นที่นิยมมาก ซึ่งทั้งสามผลิตภัณฑ์ถูกเปิดเผยรายละเอียดช่องโหว่รวมถึงโค้ดตัวอย่างสำหรับโจมตีในเดือนนี้
การโจมตีเริ่มขึ้นเมื่อช่วงต้นสัปดาห์ (24 สิงหาคม 2019) โดยผู้โจมตีมุ่งเป้าไปที่ Webmin เครื่องมือบริหารจัดการระบบ UNIX และยังรวมถึงผู้ให้บริการ VPN เช่น Pulse Secure และ FortiGate ของ Fortinet คงไม่ผิดนักถ้าจะกล่าวว่าการโจมตี Webmin, Pulse Secure และ Fortinet FortiGate นี้เป็นเรื่องที่เลวร้ายที่สุดในรอบปี
การโจมตี Webmin เกิดเมื่อมีข่าวใหญ่พบ backdoor ใน Webmin ซอร์สโค้ด หลังจากที่ผู้หวังไม่ดีทำการบุกรุกเซิฟเวอร์ของผู้พัฒนา Webmin และ backdoor อยู่มานานมากกว่าหนึ่งปีก่อนจะถูกพบ
การแสกนหาช่องโหว่นี้เริ่มหลังจากนักวิจัยความปลอดภัยได้นำเสนอที่ DEF CON งานประชุมด้านความปลอดภัย ซึ่งกล่าวถึงรายละเอียดของช่องโหว่ (ภายหลังพิสูจน์ว่าเป็น backdoor) ในเชิงลึก
ซึ่งมีผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ของ Webmin หนึ่งในนั้นคือเจ้าของ IoT botnet ชื่อ Cloudbot
แนะนำให้ผู้ดูแล Webmin ทำการอัปเดทสู่ v1.930 ที่ปล่อยออกมาเมื่อวันอาทิตย์เพื่อป้องกันระบบต่อ CVE-2019-15107 (ช่องโหว่ RCE/backdoor) เพราะจากโค้ดตัวอย่างสำหรับโจมตีที่นักวิจัยปล่อยออกมานี้ ทำให้การโจมตีง่ายและนำไปใช้โจมตีแบบอัตโนมัติได้แม้ผู้โจมตีไม่เก่ง
การโจมตี Pulse Secure และ Fortinet FortiGate VPN เริ่มจากการเปิดเผยช่องโหว่ในงานสัมมนา Black Hat ในหัวข้อที่มีชื่อว่า “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs," ที่มีรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยในผู้ให้บริการ VPN หลายตัว
อย่างไรก็ตาม เป้าหมายการโจมตีไม่ใช่โปรดักส์ VPN ทุกตัวที่พูดคุยในงานนี้ แต่โจมตีเฉพาะ Pulse Secure VPN และ FortiGate VPN ของ Fortinet
มีความเป็นได้ไปสูงที่ผู้โจมตีจะใช้รายละเอียดเทคนิคและแนวคิดพื้นฐานจากเนื้อหาภายในบล็อกของ Devcore บริษัทที่ผู้พูดหัวข้อดังกล่าวทำงานอยู่
โดยในบล็อกมีรายละเอียดและตัวอย่างโค้ดสำหรับช่องโหว่หลายๆ ช่องโหว่ในสอง VPN ดังกล่าว อย่างไรก็ตาม ผู้โจมตีเลือกเพียงสองจากช่องโหว่เหล่านั้นที่ชื่อ CVE-2019-11510 (ส่งผลต่อ Pulse Secure) และ CVE-2018-13379 (ส่งผลต่อ FortiGate)
ทั้งสองตัวคือ "pre-authentication file reads" หมายถึงประเภทของช่องโหว่ที่อนุญาตให้แฮกเกอร์ดึงไฟล์จากระบบเป้าหมายโดยไม่ต้องพิสูจน์ตัวตน
จาก Bad Packets และนักวิจัยคนอื่นๆ บน Twitter แฮกเกอร์ได้แสกนบนอินเตอร์เน็ตเพื่อหาอุปกรณ์ที่มีช่องโหว่ และจากนั้นพวกเขาจะทำการดึงไฟล์รหัสผ่านของระบบจาก Pulse Secure VPNs และไฟล์ VPN session จาก FortiGate VPN ทำให้ผู้โจมตีล็อกอินเข้าสู่อุปกรณ์หรือทำการใช้ VPN session ปลอมได้
Bad Packets กล่าวว่า มีเกือบ 42,000 Pulse Secure VPN ที่ออนไลน์อยู่ และกว่า 14,500 ที่ยังไม่ได้อัปเดทแพตช์ ถึงแม้ว่าแพตช์จะถูกปล่อยออกมาเป็นเดือนแล้ว
จำนวน FortiGate VPNs นั้นเชื่อกันว่ามีอยู่หลายแสนผู้ใช้ แม้ว่าจะไม่มีสถิติที่แน่นอนเกี่ยวกับระบบที่ยังไม่รับการป้องกันซึ่งมีความเสี่ยงที่จะถูกโจมตี ซึ่งเจ้าของอุปกรณ์ได้ถูกแนะนำให้อัปเดทให้เร็วสุด
ผู้วิจัยความปลอดภัยจาก Bad Packets ได้ยกตัวอย่างการใช้ Pulse Secure VPNs บนเครือข่ายของ :
กองทัพสหรัฐอเมริกา, รัฐบาลกลาง, รัฐ และหน่วยงานรัฐบาลท้องถิ่น
มหาวิทยาลัยและโรงเรียนสาธารณะ
โรงพยาบาลและศูนย์บริการสุขภาพ
สถาบันการเงินหลัก
บริษัทในการจัดอันดับ Fortune 500

ที่มา: Zdnet