Cisco ได้แก้ไขช่องโหว่ DoS บนระบบ VPN ที่พบจากการโจมตีแบบ password spray

Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

Internet Archive ถูกโจมตี ข้อมูลผู้ใช้งานรั่วไหล 31 ล้านคน

"The Wayback Machine" ของ Internet Archive ประสบปัญหาข้อมูลรั่วไหลหลังจากผู้ไม่หวังดีโจมตีเว็บไซต์ และขโมยฐานข้อมูลการยืนยันตัวตนของผู้ใช้งานที่ไม่ซ้ำกันถึง 31 ล้านรายการ (more…)

Cloudflare บล็อกการโจมตี DDoS ครั้งใหญ่ที่สุดที่เคยบันทึกไว้ได้ โดยมีขนาดสูงสุดอยู่ที่ 3.8 Tbps

ระหว่างแคมเปญการโจมตีแบบ Distributed Denial-of-Service ที่มีเป้าหมายไปยังองค์กรในภาคบริการทางการเงิน, อินเทอร์เน็ต และโทรคมนาคม พบการโจมตีแบบ Volumetric สูงสุดถึง 3.8 Tbps ซึ่งเป็นการโจมตีครั้งใหญ่ที่สุดที่บันทึกไว้ได้จนถึงปัจจุบัน โดยการโจมตีดังกล่าวเป็นการโจมตี DDoS ในรูปแบบ Hyper-Volumetric มากกว่า 100 ครั้งติดต่อกันเป็นเวลาหนึ่งเดือน ซึ่งส่งผลให้โครงสร้างพื้นฐานของเครือข่ายเต็มไปด้วยข้อมูลขยะ (more…)

Microsoft เปิดเผยสาเหตุการล่มครั้งใหญ่ของ Azure เกิดจากการโจมตีแบบ DDoS

Microsoft ออกมาเปิดเผยข้อมูลหลังเกิดเหตุการณ์บริการ Microsoft 365 และ Azure ทั่วโลกหยุดทำงานนานกว่าเก้าชั่วโมง โดยเป็นผลมาจากการโจมตีแบบ distributed denial-of-service (DDoS) (more…)

OVHcloud รายงานการโจมตี DDoS ที่ทำลายสถิติล่าสุดเกิดจาก MikroTik botnet

OVHcloud ผู้ให้บริการคลาวด์ระดับโลก และหนึ่งในผู้ให้บริการรายใหญ่ที่สุดในยุโรป เผยแพร่รายงานการป้องกันเหตุการณ์การโจมตีในลักษณะ Distributed Denial of Service (DDoS) attack ที่ทำลายสถิติล่าสุด โดยมี packet rate ที่สูงถึง 840 ล้าน packets per second (Mpps)

OVHcloud รายงานว่า พบเห็นแนวโน้มการโจมตีที่เพิ่มขึ้นอย่างต่อเนื่องตั้งแต่ปี 2023 โดยเริ่มจากการโจมตีขนาดเกิน 1 Tbps ซึ่งเกิดขึ้นบ่อยครั้ง และเพิ่มขึ้นจนเกิดขึ้นทุกสัปดาห์ และแทบทุกวันในปี 2024

จากการโจมตีอย่างต่อเนื่องส่งผลให้มี bit rates และ packet rates สูงอย่างต่อเนื่องเป็นระยะเวลานานในช่วง 18 เดือนที่ผ่านมา โดย bit rates ที่สูงสุดซึ่ง OVHcloud ได้บันทึกไว้คือ 2.5 Tbps เมื่อวันที่ 25 พฤษภาคม 2024

การวิเคราะห์การโจมตีบางประเภท เผยให้เห็นถึงการใช้งานอุปกรณ์ที่ใช้โจมตีอย่างแพร่หลาย โดยเฉพาะอุปกรณ์ Mikrotik ที่ทำให้การโจมตีส่งผลกระทบมากขึ้น รวมถึงความยากในการตรวจจับ การยับยั้งเหตุการณ์

การโจมตี DDoS ที่ทำลายสถิติ

เมื่อต้นปี 2024 ทาง OVHcloud ได้ป้องกันการโจมตีที่มี packet rates จำนวนมหาศาลที่สูงถึง 840 Mpps ซึ่งแซงหน้าสถิติเดิมที่พบการโจมตี DDoS ที่ 809 Mpps โดยมีเป้าหมายเป็นธนาคารในยุโรป ซึ่งทาง Akamai ได้ป้องกันเหตุการณ์ดังกล่าวไว้ได้

OVHcloud ได้สังเกตเห็นการโจมตี TCP ACK ซึ่งมีต้นทางมาจาก Source IPs จำนวน 5,000 รายการ โดย 2 ใน 3 ของ packets ถูกส่งผ่าน Points of Presence (PoPs) เพียงสี่จุด ซึ่งทั้งหมดอยู่ในสหรัฐอเมริกา และสามจุดอยู่ที่ชายฝั่งตะวันตก ซึ่ง Hacker ได้ทำการรวมปริมาณข้อมูล traffic จำนวนมหาศาลนี้ผ่าน internet infrastructure ที่มีขอบเขตเฉพาะ ทำให้การโจมตี DDoS มีประสิทธิภาพมากขึ้น

ประสิทธิภาพของ Mikrotiks กลายเป็นปัญหา

OVHcloud ระบุว่าการโจมตีด้วย packet rates สูงหลายครั้งที่บันทึกไว้ รวมถึงการโจมตีที่ทำลายสถิติเมื่อเดือนเมษายน 2024 มีที่มาจาก อุปกรณ์ MirkoTik Cloud Core Router (CCR) ที่ถูกโจมตี ซึ่งออกแบบมาสำหรับ high-performance networking ได้แก่โมเดล CCR1036-8G-2S+ และ CCR1072-1G-8S+ ที่ตกเป็นเป้าหมายในการโจมตีโดยเฉพาะ ซึ่งถูกใช้เป็น network cores ขนาดเล็กถึงกลาง โดยถูกโจมตีผ่าน firmware ของอุปกรณ์ที่มีช่องโหว่

ทั้งนี้ OVHcloud ตั้งสมุติฐานว่า Hacker อาจใช้ฟีเจอร์ "Bandwidth Test" บน RouterOS ของ MikroTik ซึ่งได้รับการออกแบบมาสำหรับการ stress testing ของ network throughput จากการสร้าง high packet rates

OVHcloud พบอุปกรณ์ Mikrotik กว่า 100,000 รายการที่มีช่องโหว่ ซึ่งสามารถเข้าถึงได้ผ่านอินเทอร์เน็ต ทำให้กลายเป็นเป้าหมายการโจมตีของแคมเปญ DDoS หลายราย

รวมถึงอุปกรณ์ MikroTik มีพลังการประมวลผล CPU สูงถึง 36 core แม้ว่าจะมีอุปกรณ์เพียง 100,000 เครื่อง ก็อาจส่งผลให้เกิด botnet ที่สามารถสร้าง packet ได้หลายพันล้าน packets per second

โดย OVHcloud ได้คำนวณว่าหากนำ 1% ของ 100,000 รายการ มาทำการโจมตี DDoS ก็สามารถสร้างการโจมตีได้มากถึง 2.28 พันล้าน packets per second (Gpps)

ในอดีตอุปกรณ์ Mikrotik เคยตกเป็นเป้าหมายการโจมตี DDoS ในชื่อ Mēris botnet มาก่อน แม้ว่าทาง MikroTik ได้ออกอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่แล้ว แต่ก็พบว่ามีองค์กรที่ไม่ได้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ ทำให้ยังมีความเสี่ยงในการตกเป็นเป้าหมายการโจมตีอยู่

ที่มา : bleepingcomputer.

มัลแวร์ NKAbuse ตัวใหม่ใช้ NKN blockchain สำหรับการสื่อสารกับ C2 Server

มัลแวร์ภาษา Go-based multi-platform ตัวใหม่ "NKAbuse" ซึ่งเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยี NKN (New Kind of Network) ในการรับส่งข้อมูล ทำให้เป็นภัยคุกคามที่ยากต่อการตรวจจับ

NKN เป็นโปรโตคอลเครือข่ายแบบ peer-to-peer แบบ decentralized ที่ค่อนข้างใหม่ ซึ่งมีการใช้เทคโนโลยี blockchain เพื่อจัดการทรัพยากร และรักษาความปลอดภัยของการทำงานบนเครือข่าย
(more…)

พบช่องโหว่ใน Cloudflare DDoS protection ที่สามารถถูก Bypass ได้โดยใช้ Cloudflare Account

นักวิจัยของ Certitude พบช่องโหว่บน Cloudflare Firewall และ DDoS prevention ที่ทำให้ bypass การตรวจสอบได้โดยการใช้ช่องโหว่ cross-tenant security controls ซึ่งข้อจำกัดเพียงอย่างเดียวสำหรับการโจมตีคือแฮ็กเกอร์ต้องมีการสร้างบัญชี Cloudflare ฟรี เพื่อใช้เป็นส่วนหนึ่งของการโจมตี รวมถึงผู้โจมตีต้องรู้ที่อยู่ IP ของเว็บเซิร์ฟเวอร์เป้าหมายเพื่อใช้ช่องโหว่นี้ในการโจมตี

การโจมตี Cloudflare โดยใช้ Cloudflare account

Stefan Proksch นักวิจัยของ Certitude ระบุว่าสาเหตของปัญหาคือการที่ Cloudflare ใช้โครงสร้างพื้นฐานร่วมกันในการรับการเชื่อมต่อจาก tenants ทั้งหมด โดยช่องโหว่ที่ส่งผลกระทบต่อระบบคือ "Authenticated Origin Pulls" และ "Allowlist Cloudflare IP Addresses" ของ Cloudflare

Authenticated Origin Pulls เป็นคุณสมบัติด้านความปลอดภัยที่ Cloudflare ใช้เพื่อให้แน่ใจว่า HTTP(s) request ที่ส่งไปยังเซิร์ฟเวอร์ต้นทางนั้น ถูกส่งผ่าน Cloudflare และไม่ได้มาจาก Hacker

โดยเมื่อทำการกำหนดค่าฟีเจอร์ดังกล่าว ลูกค้าสามารถอัปโหลด certificates ของตนโดยใช้ API หรือสร้างใบรับรองผ่าน Cloudflare ซึ่งเป็นวิธีการเริ่มต้น และง่ายที่สุด เมื่อทำการกำหนดค่าแล้ว Cloudflare จะใช้ SSL/TLS certificate เพื่อตรวจสอบ HTTP(S) requests ใด ๆ ระหว่าง reverse proxy ของบริการ และเซิร์ฟเวอร์ต้นทางของลูกค้า เพื่อป้องกัน HTTP(S) requests ที่ไม่ได้รับอนุญาตเข้าถึงเว็บไซต์ได้

(more…)

Mirai botnet มุ่งเป้าการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Zyxel, Netgear

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

พบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware

Trend Micro เปิดเผยรายงานการพบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware ซึ่งถูกพบจากการตรวจสอบเวอร์ชัน x64 VMware ESXi ที่กำหนดเป้าหมายการโจมตีไปยังเครื่อง Linux โดยมีความคล้ายคลึงกัน 98% ใน function ความคล้ายคลึงกัน (more…)

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร ตั้งเว็บไซต์ DDoS-For-Hire ปลอมเพื่อหลอกจับกุมอาชญากรทางไซเบอร์

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)