เราเตอร์ D-Link จำนวนนับหมื่นตัวที่สิ้นสุดอายุการใช้งานแล้วนั้น มีความเสี่ยงจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเปลี่ยนรหัสผ่านของผู้ใช้รายใดก็ได้ และเข้าควบคุมอุปกรณ์ทั้งหมด (more…)
D-Link จะไม่แก้ไขช่องโหว่ระดับ Critical ในโมเด็มกว่า 60,000 เครื่องเนื่องจากสิ้นสุดอายุการใช้งาน (EoL)
D-Link ปฎิเสธการแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลต่ออุปกรณ์ NAS ที่ End-of-Life กว่า 60,000 เครื่อง
D-Link รายงานการพบอุปกรณ์ D-Link Network-Attached Storage (NAS) ที่หมดอายุการใช้งานแล้ว (End-of-Life) มากกว่า 60,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะแล้ว (more…)
Cyble Honeypot Sensors ตรวจพบการโจมตีที่มุ่งเป้าหมายไปที่ D-Link, Cisco, QNAP และ Linux
Cyble ตรวจพบการโจมตีหลายครั้ง ไม่ว่าจะเป็นการโจมตีโดยใช้ช่องโหว่ต่าง ๆ, Malware Intrusions, แคมเปญฟิชชิ่ง และการโจมตีแบบ brute-force ผ่านเครือข่าย Honeypot sensors เมื่อสัปดาห์ที่ผ่านมา (more…)
CISA เพิ่มช่องโหว่ระดับ Critical 4 รายการเข้าใน KEV แค็ตตาล็อก
CISA ได้เพิ่มช่องโหว่ใหม่ 4 รายการใน Known Exploited Vulnerabilities แค็ตตาล็อก จากการพบการโจมตีอย่างต่อเนื่อง ช่องโหว่เหล่านี้ทำให้เกิดความเสี่ยงที่สำคัญสำหรับองค์กรที่ใช้งานอุปกรณ์ที่ได้รับผลกระทบ (more…)
D-Link แก้ไขช่องโหว่ RCE และ Hardcoded Password ระดับ Critical ใน WiFi 6 Router
D-Link แก้ไขช่องโหว่ระดับ Critical ใน wireless router models ยอดนิยม 3 รายการ ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล หรือเข้าถึงอุปกรณ์โดยใช้ข้อมูล credentials แบบ hardcoded ได้ (more…)
D-Link ยืนยันเหตุการณ์ข้อมูลรั่วไหล หลังจากพนักงานถูกโจมตีแบบฟิชชิ่ง
D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ออกมายืนยันเหตุการณ์ข้อมูลรั่วไหล ภายหลังจากการถูกโจมตีเครือข่าย และถูกนำข้อมูลไปประกาศขายบน BreachForums เมื่อต้นเดือนที่ผ่านมา
จากเหตุการณ์ในครั้งนี้ ผู้โจมตีได้เข้าถึงเครือข่ายภายในของ D-Link ซึ่งมีข้อมูลลูกค้าจำนวน 3 ล้านบรรทัด และซอร์สโค้ดของ D-View รวมถึงข้อมูลของเจ้าหน้าที่รัฐบาลจำนวนมาก โดยผู้โจมตีอ้างว่าได้ขโมยซอร์สโค้ดของซอฟต์แวร์การจัดการเครือข่าย D-View ของ D-Link และข้อมูลส่วนบุคคลของลูกค้า พนักงาน และข้อมูลเกี่ยวกับ CEO ของบริษัทจำนวนหลายล้านรายการออกไป โดยประกอบด้วยข้อมูลดังต่อไปนี้
ชื่อ
อีเมล
ที่อยู่
หมายเลขโทรศัพท์
วันที่ลงทะเบียนบัญชี
วันที่เข้าสู่ระบบครั้งล่าสุดของผู้ใช้งาน
ข้อมูลนี้ถูกนำไปประกาศขายบนฟอรัม ตั้งแต่วันอาทิตย์ที่ 1 ตุลาคม 2023 โดยผู้โจมตีเรียกร้องเงิน 500 ดอลลาร์ สำหรับข้อมูลลูกค้าที่ขโมยมา และซอร์สโค้ดของ D-View (more…)
Mirai botnet มุ่งเป้าการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Zyxel, Netgear
ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)
D-Link แก้ไขช่องโหว่ auth bypass และ RCE ระดับ Critical ในซอฟต์แวร์ D-View 8
D-Link ผู้ให้บริการโซลูชันเครือข่ายของไต้หวัน ได้แก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE) ซึ่งส่งผลกระทบต่อชุดการจัดการเครือข่าย D-View 8 เวอร์ชัน 2.0.1.27 และต่ำกว่า
D-View เป็นเครื่องมือการจัดการเครือข่ายขั้นสูงที่ถูกพัฒนาโดย D-Link ที่ได้รับการออกแบบโดยคำนึงถึงความต้องการที่เปลี่ยนแปลงไปขององค์กรขนาดกลาง และขนาดใหญ่ ซอฟต์แวร์นี้ให้ความสามารถในการตรวจสอบ ควบคุมการตั้งค่าอุปกรณ์ และสร้างแผนที่เครือข่าย ทำให้สามารถจัดการเครือข่ายได้อย่างมีประสิทธิภาพมากขึ้น และใช้เวลาน้อยลง
เมื่อปลายปีที่ผ่านมา นักวิจัยด้านความปลอดภัยที่เข้าร่วมโครงการ Zero Day Initiative (ZDI) ของ Trend Micro ได้ค้นพบช่องโหว่ 6 รายการ ที่ส่งผลกระทบต่อ D-View และได้รายงานไปยัง D-Link ในวันศุกร์ที่ 23 ธันวาคม 2022
ช่องโหว่ 2 รายการที่พบ มีคะแนน CVSS: 9.8 ความรุนแรงระดับ Critical มีดังนี้
CVE-2023-32165 เป็นช่องโหว่ในการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล ทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวได้สิทธิ์ SYSTEM ที่เป็นสิทธิ์สูงสุดสำหรับ Windows ส่งผลให้สามารถเข้าควบคุมระบบได้อย่างสมบูรณ์
CVE-2023-32169 เป็นช่องโหว่ที่ทำให้สามารถข้ามขั้นตอนการพิสูจน์ตัวตน (Authentication Bypass) โดยใช้คีย์การเข้ารหัสแบบฮาร์ดโค้ดใน TokenUtils class ของซอฟแวร์ ส่งผลทำให้ผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวสามารถยกระดับสิทธิ์ เข้าถึงข้อมูล และเปลี่ยนแปลงการกำหนดค่า และการตั้งค่าบนซอฟต์แวร์ รวมทั้งการติดตั้งแบ็คดอร์ และมัลแวร์วัน
พุธที่ 17 พฤษภาคม 2023 ที่ผ่านมา D-Link ทราบถึงปัญหาด้านความปลอดภัยจากรายงาน จึงได้เริ่มการตรวจสอบ และพัฒนาแพตช์ความปลอดภัยทันที และยังคงแนะนำให้ ผู้ดูแลระบบอัปเกรดเป็นเวอร์ชัน 2.0.1.28 ที่ได้รับการแก้ไข อย่างไรก็ตาม เนื่องจากประกาศยังเตือนว่า แพตช์ดังกล่าวเป็นซอฟต์แวร์เวอร์ชันเบต้า หรือเวอร์ชั่นแก้ไขด่วนที่ยังอยู่ในขั้นตอนการทดสอบขั้นสุดท้าย การอัปเกรดเป็นเวอร์ชัน 2.0.1.28 อาจทำให้การทำงานของ D-View ไม่เสถียรได้
นอกจากนี้ ยังแนะนําให้ผู้ใช้งานตรวจสอบเวอร์ชันฮาร์ดแวร์ของผลิตภัณฑ์ โดยการตรวจสอบ underside label หรือ web configuration panel ก่อนที่จะดาวน์โหลดอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง
ที่มา : bleepingcomputer
มัลแวร์ตัวใหม่ Zerobot มีเครื่องมือใช้โจมตีช่องโหว่กว่า 21 รายการบนอุปกรณ์ BIG-IP, Zyxel และ D-Link
ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision
โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย
Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:
CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras
ที่มา : bleepingcomputer
IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา
IBM เผย Mozi Botnet เเพร่กระจายในเครือข่ายอุปกรณ์ IoT ถึง 90 % ในช่องครึ่งปีที่ผ่านมา
IBM ได้ออกรายงานถึงการเเพร่กระจายของ botnet ในระหว่างเดือนตุลาคม 2019 ถึงเดือนมิถุนายน 2020 โดยรายงานพบว่าการเเพร่กระจายกว่า 90 เปอร์เซ็นต์นั้นมากจาก Mozi botnet ซึ่งใช้เครือข่าย loT เป็นฐานในการเเพร่กระจาย
Mozi botnet ถูกตรวจพบโดยผู้เชี่ยวชาญด้านความปลอดภัยจาก 360 Netlab ซึ่งในช่วงเวลาที่ค้นพบนั้น botnet มีการกำหนดเป้าหมายไปที่เราเตอร์ Netgear, D-Link และ Huawei โดยการโจมตีผ่านการ brute force รหัสผ่าน Telnet ที่อ่อนแอ เมื่อเข้าถึงอุปกรณ์ได้แล้ว botnet จะพยายามเรียกใช้เพย์โหลดที่เป็นอันตรายและ botnet จะใช้เครือข่าย Mozi P2P ที่ถูกสร้างโดยใช้โปรโตคอล Distributed Hash Table (DHT) เพื่อสร้างเครือข่าย P2P ในการเเพร่กระจาย
นอกจากการเเพร่กระจายแล้ว Mozi botnet ยังมีความสามารถในการการโจมตี DDoS, การรวบรวมข้อมูล, ดำเนินการเพย์โหลดของ URL ที่ระบุและเรียกใช้ระบบหรือคำสั่งที่กำหนดเอง ทั้งนี้นักวิจัยของ IBM ได้ค้นพบว่าโครงสร้างพื้นฐานที่ Mozi botnet ใช้นั้นตั้งอยู่ในประเทศจีนเป็นหลัก (84%)
นักวิจัยคาดว่าอุปกรณ์ที่จะได้รับผลกระทบจาก Mozi botnet คือ เราเตอร์ Eir D1000, อุปกรณ์ Vacron NVR , อุปกรณ์ที่ใช้ Realtek SDK, Netgear R7000 และ R6400, เราเตอร์ DGN1000 Netgear, MVPower DVR, เราเตอร์ Huawei HG532, อุปกรณ์ D-Link, GPON เราเตอร์, อุปกรณ์ D-Link, กล้องวงจรปิด DVR
เพื่อปกป้องอุปกรณ์ IoT และเราเตอร์จากการโจมตี ผู้ใช้ควรทำการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุดและควรทำการเปลื่ยนรหัสผ่านตั้งต้นเป็นรหัสผ่านที่ปลอดภัย ทั้งนี้ควรปิดการใช้งานเข้าถึงจากระยะไกลผ่านอินเทอร์เน็ตหากไม่จำเป็น
โดยสามารถดู IOC ได้จาก : Securityintelligence
ที่มา : Securityaffairs | blog.
- 1
- 2