เปิดประเทศก็พอ ไม่ต้องเปิดระบบให้เขาเข้ามา! NSA ออกรายงานช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์จีนในการโจมตีระบบ

NSA ออก Cybersecurity Advisory เมื่อวันอังคารที่ผ่านมาโดยมีเนื้อหาเป็นการรวบรวมและแจ้งเตือนช่องโหว่ซึ่งมักถูกใช้โดยกลุ่มแฮกเกอร์ที่ถูกสนับสนุนโดยรัฐบาลจีนในการโจมตี พร้อมคำแนะนำในการรับมือและความเสี่ยงในการถูกโจมตีด้วย

ช่องโหว่ที่ถูกระบุในรายงานมีทั้งสิ้น 25 ช่องโหว่ โดยมีการระบุถึงช่องโหว่ชื่อดังอย่าง CVE-2019-19781 ใน Citrix ADC ซึ่งถูกใช้ทั้งจากกลุ่มแฮกเกอร์ที่รัฐบาลจีนสนับสนุนและกลุ่มแฮกเกอร์ที่รัฐบาลอิหร่านสนับสนุน แนะนำให้ตรวจสอบรายงานดังกล่าวและดำเนินการตามความเหมาะสมเพื่อลดผลกระทบจากการถูกโจมตีโดยช่องโหว่เหล่านี้

ที่มา : CISA

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

POC ของช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ถูกเผยแพร่แล้ว

ในช่วงปลายเดือนธันวาคม 2019 มีรายงานการพบช่องโหว่ CVE-2019-19781 ใน Citrix ADC (NetScaler) ซึ่งในเวลาต่อมาไม่นานนักวิจัยด้านความปลอดภัยพบการแสกนจำนวนมากเพื่อค้นหาเครื่องที่มีช่องโหว่ ซึ่งในวันที่ 11 มกราคม 2020 มีการปล่อยโค้ดสำหรับโจมตีช่องโหว่ CVE-2019-19781 ออกมาแล้ว

CVE-2019-19781 ถูกจัดความรุนแรงอยู่ในระดับ Critical และอาจส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายผ่าน Directory Traversal หากทำการโจมตีได้สำเร็จ ซึ่งในขณะนี้ยังไม่มีแพตช์ Citrix ได้ให้คำแนะนำเกี่ยวกับวิธีตั้งค่าเพื่อป้องกันไว้ที่ https://support.