D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ออกมายืนยันเหตุการณ์ข้อมูลรั่วไหล ภายหลังจากการถูกโจมตีเครือข่าย และถูกนำข้อมูลไปประกาศขายบน BreachForums เมื่อต้นเดือนที่ผ่านมา

จากเหตุการณ์ในครั้งนี้ ผู้โจมตีได้เข้าถึงเครือข่ายภายในของ D-Link ซึ่งมีข้อมูลลูกค้าจำนวน 3 ล้านบรรทัด และซอร์สโค้ดของ D-View รวมถึงข้อมูลของเจ้าหน้าที่รัฐบาลจำนวนมาก โดยผู้โจมตีอ้างว่าได้ขโมยซอร์สโค้ดของซอฟต์แวร์การจัดการเครือข่าย D-View ของ D-Link และข้อมูลส่วนบุคคลของลูกค้า พนักงาน และข้อมูลเกี่ยวกับ CEO ของบริษัทจำนวนหลายล้านรายการออกไป โดยประกอบด้วยข้อมูลดังต่อไปนี้

ชื่อ
อีเมล
ที่อยู่
หมายเลขโทรศัพท์
วันที่ลงทะเบียนบัญชี
วันที่เข้าสู่ระบบครั้งล่าสุดของผู้ใช้งาน

ข้อมูลนี้ถูกนำไปประกาศขายบนฟอรัม ตั้งแต่วันอาทิตย์ที่ 1 ตุลาคม 2023 โดยผู้โจมตีเรียกร้องเงิน 500 ดอลลาร์ สำหรับข้อมูลลูกค้าที่ขโมยมา และซอร์สโค้ดของ D-View (more…)

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า

D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง

เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022

ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้

CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน

พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้

นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer

IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา

IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย

Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย

นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)

นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR

เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น

โดยสามารถดู IOC ได้จาก : Securityintelligence

ที่มา : Securityaffairs | blog.

พบช่องโหว่ร้ายแรงสามารถเข้าควบคุมเราเตอร์ D-Link ได้

ทีมนักวิจัยจากมหาวิทยาลัย Silesian ในประเทศโปแลนด์ได้พบช่องโหว่หลายรายการซึ่งส่งผลกระทบกับเราเตอร์ D-Link หลายรุ่นประกอบด้วย DWR-116, DWR-111, DIR-140L, DIR-640L, DWR-512, DWR-712, DWR-912 และ DWR-921 โดยช่องโหว่ร้ายแรงสามารถทำให้แฮกเกอร์เข้าควบคุมอุปกรณ์ได้เลยทีเดียว

หนึ่งในช่องโหว่เป็น Directory Traversal (CVE-2018-10822) ส่งผลให้ผู้โจมตีสามารถเข้ามาอ่านไฟล์ผ่าน HTTP Request ได้ ซึ่งก่อนหน้านี้ช่องโหว่เคยถูกรายงานมาแล้ว (CVE-2017-6190) แต่ทางผู้ผลิตล้มเหลวในการแก้ไขช่องโหว่ที่เกิดขึ้นบนผลิตภัณฑ์ของตนเองหลายรุ่น นอกจากนี้ยังมี

CVE-2018-10824 เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงไฟล์เก็บรหัสผ่านของ Admin ที่พบว่าไม่มีการเข้ารหัสด้วย โดยนักวิจัยไม่ได้เผยที่ตั้งไฟล์เพราะเกรงว่าจะเป็นการชี้ช่องทาง
CVE-2018-10823 เป็นช่องโหว่ที่ทำให้เกิดการรันคำสั่งและสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ หลังจากทำการ authenticate สำเร็จแล้ว

แม้ว่าทางบริษัทผู้ผลิตจะได้รับการแจ้งเตือนช่องโหว่ต่างๆ ตั้งแต่เดือนพฤษภาคมและให้สัญญาว่าจะออกแพตช์สำหรับเราเตอร์รุ่น DWR-116 และ DWR-111 พร้อมแจ้งเตือนสำหรับผลิตภัณฑ์ที่เก่าจนไม่ได้รับการรองรับแล้ว แต่จนบัดนี้ทาง D-Link ก็ยังไม่มีแพตช์ใดๆ ออกมาจนทำให้นักวิจัยตัดสินใจเผยรายละเอียดต่อสาธารณะ สำหรับผู้ใช้งานที่ได้รับผลกระทบควรไปตั้งค่าปิดการเข้าถึงเราเตอร์ผ่านอินเทอร์เน็ต

เช่นเดียวกับการค้นพบช่องโหว่ใน Linksys E-Series เร้าเตอร์ โดยนักวิจัยจาก Cisco Talos เป็นข้อผิดพลาดใน Injection Command ของระบบปฏิบัติการ ส่งผลให้สามารถเข้าถึงเครื่องและติดตั้งมัลแวร์ได้ ซึ่งข้อแตกต่างจากช่องโหว่ในผลิตภัณฑ์ D-Link คือสามารถโจมตีสำเร็จได้เมื่อทำการ authenticate แล้วเท่านั้น และได้มีการออกแพทช์เรียบร้อยแล้ว

ที่มา:securityweek

Botnet ตัวใหม่ Hakai IoT มุ่งเน้นโจมตีไปที่เร้าเตอร์ของ D-Link, Huawei และ Realtek

นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ทำการตรวจสอบมัลแวร์ชื่อว่า "Hakai" ที่พบครั้งแรกในเดือนมิถุนายน ซึ่งเวอร์ชั่นแรกของ Hakai นั้นรู้จักในชื่อ Qbot (Gafgyt, Bashlite, Lizkebab, Torlus หรือ LizardStresser) เป็นสายพันธุ์มัลแวร์ IoT ที่มีโครงสร้างไม่ซับซ้อนนักเมื่อหลายปีก่อน แต่ Hakai เก่งกว่านั้น นักวิจัยพบการโจมตีของ Hakai เป็นครั้งแรกเมื่อวันที่ 21 กรกฎาคม เป็นการใช้ประโยชน์ช่องโหว่ CVE-2017-17215 ซึ่งเป็นช่องโหว่ที่ส่งผลกระทบต่อเราเตอร์ Huawei HG352 และในช่วงกลางเดือนสิงหาคม นักวิจัยคนอื่น ๆ ก็เริ่มสังเกตเห็นว่า botnet ตัวใหม่นี้เริ่มมุ่งเป้าหมายไปที่อุปกรณ์อื่นๆ ที่มีช่องโหว่เพิ่มเติม

Hakai ได้มุ่งเป้าโจมตีโดยกำหนดเป้าหมายไปยังเร้าเตอร์ D-Link ที่มีการใช้งานโปรโตคอล HNAP และเร้าเตอร์ Realtek รวมทั้งอุปกรณ์ IoT ที่มีการใช้ Realtek SDK เวอร์ชันเก่าที่ยังคงมีช่องโหว่

ที่มา : zdnet

ใบรับรองดิจิตอลของ D-Link ถูกขโมยมาใช้ในการแพร่มัลแวร์

นักวิจัยของ ESET ได้ค้นพบการแพร่ระบาดมัลแวร์ครั้งใหม่ที่ใช้ใบรับรองดิจิตอลที่ขโมยมา เนื่องจากระบบของ ESET เตือนถึงไฟล์ที่น่าสงสัย แต่ไฟล์ดังกล่าวมีใบรับรองดิจิตอลจากบริษัท D-Link ซึ่งเป็นบริษัทผลิตอุปกรณ์ด้านเน็ตเวิร์คชื่อดังของไต้หวัน นักวิจัยจึงประสานงานกับบริษัท D-Link และยกเลิกไม่ให้ใบรับรองดังกล่าวที่ถูกขโมยใช้งานต่อได้อีก และจากการตรวจสอบเพิ่มเติมยังพบมัลแวร์ที่ใช้ใบรับรองดิจิตอลจากบริษัท Changing Information Technology ซึ่งเป็นบริษัทให้บริการด้านความปลอดภัยอีกด้วย

นักวิจัยของ ESET เปิดเผยว่าใบรับรองดิจิตอลดังกล่าวถูกใช้ทำเครื่องหมายให้กับมัลแวร์สองตระกูล ซึ่งเคยถูกใช้โดยกลุ่มจารกรรมข้อมูลทางไซเบอร์ชื่อ BlackTech

มัลแวร์ตัวแรกคือ Plead เป็นแบ็คดอร์ที่ช่วยให้ผู้ไม่ประสงค์ดีสามารถควบคุมระบบของผู้ใช้งานเพื่อขโมยข้อมูลและสอดแนมผู้ใช้
มัลแวร์อีกตัวคือ มัลแวร์ขโมยรหัสผ่านที่ใช้ร่วมกับ Plead เพื่อรวบรวมรหัสผ่าน จาก Google Chrome Microsoft Internet Explorer Microsoft Outlook และ Mozilla Firefox

ใบรับรองดิจิตอลถูกขโมยเพื่อนำใช้ในการแพร่มัลแวร์มาแล้วหลายครั้ง เนื่องจากคอมพิวเตอร์จะเชื่อถือโปรแกรมที่ทำเครื่องหมายด้วยใบรับรองดิจิตอล และทำงานโปรแกรมดังกล่าวโดยไม่ขึ้นข้อความแจ้งเตือน ทำให้ผู้ใช้หลงเชื่อว่าโปรแกรมดังกล่าวไม่เป็นอันตราย

ที่มา:welivesecurity

D-Link ได้ออกเฟิร์มแวร์สำหรับเราเตอร์รุ่นเก่าซึ่งได้พบช่องโหว่ของการรักษาความปลอดภัยซึ่งช่องโหว่ดังกล่าวถูกพบในเดือนตุลาคม โดยทางทีมวิจัยรักษาความปลอดภัยของทาง D-Link Craig Heffner ได้ออกมายืนยันถึงปัญหาของช่องโหว่ดังกล่าวที่ถูกค้นพบซึ่งรายงานการวิเคราะห์ของเราท์เตอร์ D-Link พบว่าในเว็บเซิร์ฟเวอร์สำหรับการเข้าแก้ไขค่าคอนฟิกมีสตริงแปลกๆ เมื่อทำการวิเคราะห์ย้อนกลับไปพบว่าบราวเซอร์ที่มี User-Agent มีสตริงนี้จะสามารถเข้าควบคุมเราเตอร์ได้โดยไม่ต้องล็อกอิน

ทางบริษัท D-Link ได้ออกมาแนะนำผู้ใช้ถึงวิธีการป้องกันการถูกโจมตีดังกล่าว โดยให้ผู้ใช้ได้ทำการปิดการใช้งาน Remote Management และได้เตือนอีกว่าตอนนี้มีอีเมลเพื่อลวงให้ผู้ใช้คลิกลิงค์เพื่อเข้าจัดการเราเตอร์ ซึ่งทาง D-Link จีงออกประกาศว่าทางบริษัทไม่ได้ส่งอีเมลเหล่านั้น

โดยช่องโหว่แบบเดียวกันยังมีรายงานในเราเตอร์ D-Link DIR-100, DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 Router PlanexBRL-04R, BRL-04UR, BRL-04CW routers; และ Alpha Networks routers และมีเราเตอร์ได้รับแพตซ์แก้ปัญหา ได้แก่ DI-524, DI-524UP, DIR-604+, DIR-604UP, DIR-624S, TM-G5240, DIR-100 และ DIR-120

ทีี่มา : net-security