Alert (AA20-259A) Iran-Based Threat Actor Exploits VPN Vulnerabilities

CISA ออกแจ้งเตือนการโจมตีจากกลุ่มแฮกเกอร์อิหร่านที่ใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย

หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ออกประกาศเเจ้งเตือนภัยรหัส AA20-259A ถึงกลุ่มแฮกเกอร์อิหร่านหรือที่รู้จักกันในชื่อ Pioneer Kitten และ UNC757 กำลังใช้ประโยชน์จากช่องโหว่ของ VPN ทำการโจมตีเครือข่าย โดยเเฮกเกอร์กลุ่มนี้ได้กำหนดเป้าหมายการโจมตีไปยังกลุ่มอุตสาหกรรมต่างๆ ที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ, หน่วยงานของรัฐบาล, หน่วยงานการดูแลสุขภาพ, การเงิน, การประกันภัยและภาคสื่อทั่วสหรัฐอเมริกา

สำหรับการบุกรุกเครือข่ายนั้นกลุ่มเเฮกเกอร์จะทำการสแกนจำนวนมากและใช้เครื่องมือเช่น Nmap เพื่อทำการสำรวจและระบุพอร์ตที่เปิดอยู่จากนั้นจะใช้ช่องโหว่ที่เกี่ยงข้องกับ VPN ที่ถูกเปิดเผยแล้วเช่น CVE-2019-11510 (Pulse Secure VPN), CVE-2019-11539 (Pulse Secure VPN), CVE-2019-19781 (Citrix VPN Appliance) และ CVE-2020-5902 (F5 Big-IP) ทำการโจมตี ซึ่งหลังจากทำการบุกรุกได้แล้วกลุ่มเเฮกเกอร์จะทำการยกระดับสิทธิเป็นผู้ดูแลระบบและจะทำการติดตั้ง web shell ในเครื่องเป้าหมายเพื่อหาประโยชน์ต่างๆ จากเซิฟเวอร์ที่ทำการบุกรุก

นอกจากนี้ CISA และ FBI ได้สังเกตเห็นว่ากลุ่มเเฮกเกอร์ใช้ประโยชน์จากเครื่องมือโอเพ่นซอร์สเช่น ngrok, Fast Reverse Proxy (FRP), Lightweight Directory Access Protocol (LDAP) directory browser และ web shells เช่น ChunkyTuna, Tiny และ China Chopper ในการโจมตี

ผู้ดูแลระบบควรทำการตรวจสอบระบบ VPN ว่าได้ทำการอัปเดตเเพตซ์ในอุปกรณ์แล้วหรือไม่ ซึ่งหากยังไม่ได้ทำการอัปเดตเเพตซ์ควรทำการอัพเดตอย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบและผู้ที่สนใจสามารถดูรายละเอียดการของเครื่องมือการโจมตีและ IOC การโจมตีได้ที่เเหล่งที่มา

ที่มา: us-cert.

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ออกแจ้งเตือนภัยถึงกลุ่มเเฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากช่องโหว่ CVE-2020-5902 (F5 BIG-IP) ทำการโจมตีระบบ

FBI ได้ออกประกาศ Private Industry Notification (PIN) เพื่อเเจ้งเตือนถึงกลุ่มแฮกเกอร์ชาวอิหร่านพยายามใช้ประโยชน์จากข้อบกพร่องในช่องโหว่ CVE-2020-5902 ที่มีคะเเนนความรุนเเรงของช่องโหว่ CVSS: 10/10 โดยช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลโดยไม่ผ่านการตรวจสอบความถูกต้องและช่องโหว่จะส่งผลต่ออุปกรณ์ F5 Big-IP Application Delivery Controller (ADC)

FBI กล่าวว่ากลุ่มแฮกเกอร์ชาวอิหร่านถูกตรวจพบว่ามีการพยายามโจมตีภาคเอกชนและรัฐบาลของสหรัฐฯ โดยใช้ประโยชน์จากช่องโหว่ที่ถูกพบตั้งแต่ต้นเดือนกรกฎาคม 2563 ทำการโจมตีอุปกรณ์ Big-IP ADC ที่ไม่ได้รับการอัปเดตเเพตซ์การติดตั้ง

FBI ยังกล่าวอีกว่าหลังจากกลุ่มแฮกเกอร์ทำการบุกรุกสำเร็จพวกเขาจะใช้ Webshell, Mimikatz, NMAP และเครื่องมืออื่นๆ เพื่อทำการหาประโยชน์และทำการบุกรุกภายในเครือข่ายรวมถึงการปรับใช้ช่องโหว่ร่วมกับ Ransomware ในการโจมตีภายในเครือข่าย

FBI ได้ขอแนะนำผู้ดูแลระบบรีบทำการเเพตซ์ช่องโหว่ดังกล่าวให้เร็วที่สุดเพื่อป้องกันการโจมตีโดยใช้ประโยชน์จากช่องโหว่ ทั้งนี้ F5 มีสคริปชื่อ CVE-2020-5902 Detection Tool สำหรับแสกนหา IoCs ในระบบ ว่าถูกโจมตีแล้วหรือยัง ซึ่งสามารถเข้าไปดาวน์โหลดได้ที่: https://github.

แจ้งเตือนช่องโหว่ระดับวิกฤติใน F5 BIG-IP รันโค้ดอันตรายจากระยะไกล

F5 Networks ซึ่งเป็นหนึ่งในผู้ให้บริการเครือข่ายระดับองค์กรที่ใหญ่ที่สุดในโลกได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าให้ทำการอัพเดตเเพตซ์แก้ไขข้อบกพร่องด้านความปลอดภัยที่เป็นอันตรายซึ่งมีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์ เพื่อโจมตีองค์กรต่างๆ โดยช่องโหว่ดังกล่าวถูกติดตามด้วยรหัส CVE-2020-5902 ช่องโหว่ที่เกิดขึ้นนั้นส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP ซึ่งอยู่ในอุปกรณ์เน็ตเวิร์คเช่น Web Traffic Shaping Systems, Load balance, Firewall, Access Gateway ตลอดจนไปถึง SSL Middleware เป็นต้น

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มาการตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ โดยในบล็อกนี้นั้นเราจะทำการติดตามและอัปเดตข้อมูลรายวันเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ทันสมัยที่สุด

รายละเอียดช่องโหว่โดยย่อ

รายละเอียดของช่องโหว่เชิงเทคนิค

การโจมตีช่องโหว่

ระบบที่ได้รับผลกระทบ

การตรวจจับและป้องกันการโจมตี

Root Cause ของช่องโหว่

การบรรเทาผลกระทบ

อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดขึ้นจากข้อผิดพลาดใน BIG-IP Management Interface หรือที่เรียกว่า TMUI (Traffic Management User Interface) โดยช่องโหว่นี้ถูกประเมินด้วยคะแนน CVSSv3 แบบ Base Score อยู่ที่ 10/10 ซึ่งถือว่าเป็นช่องโหว่ที่มีความรุนเเรงและอัตรายอย่างมาก

ผู้ประสงค์ร้ายสามารถใช้ประโยน์จากช่องโหว่นี้ผ่านทางอินเตอร์เน็ตเพื่อเข้าถึง TMUI Component ซึ่งทำงานบน Tomcat เซิร์ฟเวอร์บนระบบปฏิบัติการ Linux ของ BIG-IP ซึ่งช่องโหว่นี้ทำให้ผู้บุกรุกสามารถรันคำสั่งบนระบบได้ โดยการรันคำสั่งสามารถสร้างหรือลบไฟล์, Disable Service และยังสามารถรันคำสั่งโค้ด Java บนอุปกรณ์ที่ใช้ BIG-IP ได้

ช่องโหว่นี้ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยด้านความปลอดภัยจาก Positive Technologies นักวิจัยได้ทำการค้นหาอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต โดยการใช้ Shodan Search พบว่ายังมีอุปกรณ์ BIG-IP ประมาณ 8,400 ที่สามารถเข้าได้ผ่านอินเตอร์เน็ตซึ่ง 40% อยู่ในประเทศสหรัฐอเมริกา

รูปที่ 1 จำนวนอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต

รายละเอียดของช่องโหว่เชิงเทคนิค
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Directory Traversal ใน /tmui/locallb/workspace/tmshCmd.