พบ Botnet 2 รายการที่ถูกติดตามในชื่อ 'Ficora' และ 'Capsaicin' กำลังกำหนดเป้าหมายการโจมตีไปยัง D-Link Router ที่หมดอายุการใช้งาน หรือใช้งานเฟิร์มแวร์เวอร์ชันเก่าอย่างต่อเนื่อง

โดยพบว่า Botnet ดังกล่าวมุ่งเป้าหมายการโจมตีไปยังอุปกรณ์ D-Link รุ่นยอดนิยมที่ใช้โดยบุคคล และองค์กรต่าง ๆ เช่น DIR-645, DIR-806, GO-RT-AC750 และ DIR-845L โดยใช้ช่องโหว่ CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 และ CVE-2024-33112 เพื่อเข้าถึงอุปกรณ์ดังกล่าว และเมื่อสามารถเข้าถึงอุปกรณ์ได้แล้ว ก็จะใช้ช่องโหว่ใน D-Link’s management interface (HNAP) และเรียกใช้คำสั่งที่เป็นอันตรายผ่าน GetDeviceSettings

โดย Botnet ดังกล่าว สามารถขโมยข้อมูล และเรียกใช้ shell scripts รวมถึงเข้าสู่ระบบของอุปกรณ์เพื่อจุดประสงค์ในการโจมตีในรูปแบบ Distributed Denial-of-Service (DDoS)

Ficora Botnet มีการแพร่กระจายอย่างกว้างขวาง โดยเน้นไปที่ประเทศญี่ปุ่น และสหรัฐอเมริกา แต่ Capsaicin Botnet ดูเหมือนจะมุ่งเป้าไปที่อุปกรณ์ในประเทศเอเชียตะวันออกเป็นส่วนใหญ่ โดยเริ่มพบการโจมตีตั้งแต่วันที่ 21 ตุลาคม 2024 และพบการโจมตีเพิ่มขึ้นอย่างต่อเนื่อง

Ficora Botnet

Ficora คือเวอร์ชันใหม่ของ Mirai Botnet ที่ถูกดัดแปลงมาเพื่อโจมตีช่องโหว่ในอุปกรณ์ D-Link โดยเฉพาะ

ตามข้อมูลของ Fortinet พบว่า Botnet มีการกำหนดเป้าหมายการโจมตีแบบสุ่ม โดยพบการโจมตีเพิ่มขึ้นอย่างเห็นได้ชัด 2 ครั้งในเดือนตุลาคม และพฤศจิกายน 2024

หลังจากเข้าถึงอุปกรณ์ D-Link ได้แล้ว Ficora จะใช้ shell script ชื่อ 'multi' เพื่อดาวน์โหลด และเรียกใช้เพย์โหลดผ่านวิธีการต่าง ๆ มากมาย เช่น wget, curl, ftpget และ tftp

Ficora มีฟังก์ชันการ brute force ในตัวพร้อมข้อมูล credentials แบบ hard-coded เพื่อโจมตีอุปกรณ์ที่ใช้ Linux-based เพิ่มเติม และยังรองรับ hardware architecture หลายรายการ ในด้านความสามารถในการโจมตี DDoS นั้น รองรับ UDP Flooding, TCP Flooding และ DNS Amplification เพื่อเพิ่มพลังการโจมตีให้สูงสุด

Capsaicin Botnet

Capsaicin คือเวอร์ชันใหม่ของ Kaiten Botnet ซึ่งเชื่อว่าถูกพัฒนาโดยกลุ่ม Keksec หรือที่รู้จักกันในชื่อ 'EnemyBot' และเป็นมัลแวร์ที่กำหนดเป้าหมายไปยังอุปกรณ์ที่ใช้ Linux

Fortinet ตรวจพบการโจมตีอย่างต่อเนื่องระหว่างวันที่ 21 ถึง 22 ตุลาคม 2024 โดยมุ่งเป้าไปที่ประเทศในเอเชียตะวันออกเป็นหลัก

โดยการโจมตีผ่าน downloader script (“bins.

เราเตอร์ D-Link จำนวนนับหมื่นตัวที่สิ้นสุดอายุการใช้งานแล้วนั้น มีความเสี่ยงจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเปลี่ยนรหัสผ่านของผู้ใช้รายใดก็ได้ และเข้าควบคุมอุปกรณ์ทั้งหมด (more…)

D-Link รายงานการพบอุปกรณ์ D-Link Network-Attached Storage (NAS) ที่หมดอายุการใช้งานแล้ว (End-of-Life) มากกว่า 60,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะแล้ว (more…)

Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา (more…)

CISA ได้เพิ่มช่องโหว่ใหม่ 4 รายการใน Known Exploited Vulnerabilities แค็ตตาล็อก จากการพบการโจมตีอย่างต่อเนื่อง ช่องโหว่เหล่านี้ทำให้เกิดความเสี่ยงที่สำคัญสำหรับองค์กรที่ใช้งานอุปกรณ์ที่ได้รับผลกระทบ (more…)

 

D-Link แก้ไขช่องโหว่ระดับ Critical ใน wireless router models ยอดนิยม 3 รายการ ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล หรือเข้าถึงอุปกรณ์โดยใช้ข้อมูล credentials แบบ hardcoded ได้ (more…)

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ออกมายืนยันเหตุการณ์ข้อมูลรั่วไหล ภายหลังจากการถูกโจมตีเครือข่าย และถูกนำข้อมูลไปประกาศขายบน BreachForums เมื่อต้นเดือนที่ผ่านมา

จากเหตุการณ์ในครั้งนี้ ผู้โจมตีได้เข้าถึงเครือข่ายภายในของ D-Link ซึ่งมีข้อมูลลูกค้าจำนวน 3 ล้านบรรทัด และซอร์สโค้ดของ D-View รวมถึงข้อมูลของเจ้าหน้าที่รัฐบาลจำนวนมาก โดยผู้โจมตีอ้างว่าได้ขโมยซอร์สโค้ดของซอฟต์แวร์การจัดการเครือข่าย D-View ของ D-Link และข้อมูลส่วนบุคคลของลูกค้า พนักงาน และข้อมูลเกี่ยวกับ CEO ของบริษัทจำนวนหลายล้านรายการออกไป โดยประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อ
อีเมล
ที่อยู่
หมายเลขโทรศัพท์
วันที่ลงทะเบียนบัญชี
วันที่เข้าสู่ระบบครั้งล่าสุดของผู้ใช้งาน

ข้อมูลนี้ถูกนำไปประกาศขายบนฟอรัม ตั้งแต่วันอาทิตย์ที่ 1 ตุลาคม 2023 โดยผู้โจมตีเรียกร้องเงิน 500 ดอลลาร์ สำหรับข้อมูลลูกค้าที่ขโมยมา และซอร์สโค้ดของ D-View (more…)

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า

D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง

เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022

ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้

CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน

พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้

นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer