Cloudflare บล็อกการโจมตีแบบ DDoS ด้วยสถิติใหม่ที่มีปริมาณสูงถึง 7.3 Tbps โดยมีเป้าหมายไปยังผู้ให้บริการ Hosting

Cloudflare เปิดเผยว่าได้ป้องกันการโจมตีแบบ DDoS ที่สร้างสถิติใหม่ในเดือนพฤษภาคม 2025 ด้วยปริมาณที่พุ่งสูงถึง 7.3 Tbps โดยมุ่งเป้าไปยังผู้ให้บริการ Hosting

การโจมตีแบบ DDoS คือการส่ง traffic จำนวนมหาศาลไปยังเป้าหมาย โดยมีจุดประสงค์เดียวคือทำให้เซิร์ฟเวอร์ทำงานอย่างหนัก และทำให้เกิดความล่าช้าในการให้บริการ จนถึงขั้นระบบหยุดชะงัก หรืออาจทำให้ระบบขัดข้องไปเลย

การโจมตีครั้งใหม่นี้มีขนาดใหญ่กว่าสถิติเดิมถึง 12% โดยมีการส่งข้อมูลมหาศาลถึง 37.4 TB ภายในเวลาเพียง 45 วินาที ถ้าเทียบเท่ากับการสตรีมมิ่งวิดีโอความละเอียดสูงระดับ HD ก็จะประมาณ 7,500 ชั่วโมง หรือถ้าเป็นรูปภาพ JPEG ก็จะประมาณ 12,500,000 รูป

Cloudflare เป็นบริษัทยักษ์ใหญ่ด้านโครงสร้างพื้นฐานเว็บไซต์ และความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญด้านการป้องกันการโจมตีแบบ DDoS โดยให้บริการป้องกันในระดับเครือข่ายที่เรียกว่า 'Magic Transit' แก่ลูกค้าที่ตกเป็นเป้าหมายของการโจมตีในครั้งนี้

การโจมตีครั้งนี้มาจาก IP Address ต้นทางจำนวน 122,145 แห่ง ที่กระจายอยู่ใน 161 ประเทศ โดยส่วนใหญ่มาจากบราซิล, เวียดนาม, ไต้หวัน, จีน, อินโดนีเซีย และยูเครน

แพ็กเกจข้อมูลขยะ ถูกส่งไปยังพอร์ตปลายทางหลายพอร์ตบนระบบของเหยื่อ โดยเฉลี่ยอยู่ที่ 21,925 พอร์ตต่อวินาที และสูงสุดถึง 34,517 พอร์ตต่อวินาที

กลยุทธ์ในการกระจาย traffic ในลักษณะนี้ มีเป้าหมายเพื่อทำให้ firewall หรือระบบตรวจจับการบุกรุก (IDS) ทำงานหนักจนถึงขั้นขัดข้องในที่สุด อย่างไรก็ตาม Cloudflare ระบุว่า สามารถป้องกันการโจมตีได้สำเร็จโดยไม่ต้องอาศัยการแทรกแซงใด ๆ จากมนุษย์

เครือข่าย anycast ของ Cloudflare ได้ช่วยกระจาย traffic จากการโจมตีไปยังศูนย์ข้อมูล 477 แห่ง ใน 293 แห่งทั่วโลก โดยอาศัยเทคโนโลยีหลักต่าง ๆ เช่น การตรวจสอบ fingerprint แบบเรียลไทม์ (real-time fingerprinting) และการแลกเปลี่ยนข้อมูลภายในศูนย์ข้อมูล (intra-data center gossiping) เพื่อแบ่งปันข้อมูลภัยคุกคามแบบ real-time และสร้าง Rules เพื่อป้องกันโดยอัตโนมัติ

แม้ว่าปริมาณการโจมตีเกือบทั้งหมดจะมาจากเทคนิค UDP floods ซึ่งคิดเป็น 99.996% ของ traffic ทั้งหมด แต่ก็มีการโจมตีในรูปแบบอื่น ๆ อีกหลายรูปแบบเข้ามาเกี่ยวข้องด้วย ได้แก่ :

QOTD reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล QOTD (Quote of the Day)
Echo reflection – การโจมตีแบบ reflection โดยใช้โปรโตคอล Echo เพื่อสร้าง traffic จำนวนมาก
NTP amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล NTP (Network Time Protocol) เพื่อเพิ่มปริมาณข้อมูล
Mirai botnet UDP flood – การโจมตีแบบ UDP flood โดยใช้ Mirai botnet
Portmap flood – การโจมตีแบบ Portmap flood โดยส่งข้อมูลจำนวนมากผ่านพอร์ตที่ใช้บริการ Portmap เพื่อทำให้ระบบล่ม
RIPv1 amplification – การโจมตีแบบ amplification โดยใช้โปรโตคอล RIPv1 (Routing Information Protocol version 1) เพื่อสร้างปริมาณ traffic ที่มากผิดปกติ

การโจมตีแต่ละรูปแบบอาศัยช่องโหว่ของบริการที่ล้าสมัย หรือที่ถูกตั้งค่าผิดพลาด แม้ว่าส่วนนี้จะเป็นเพียงสัดส่วนเล็กน้อยของการโจมตีทั้งหมด แต่ก็เป็นส่วนหนึ่งของกลยุทธ์ในการหลบเลี่ยงการตรวจจับ และเพิ่มประสิทธิภาพของการโจมตี อีกทั้งยังอาจถูกใช้เพื่อตรวจสอบหาจุดอ่อน หรือช่องโหว่ในการตั้งค่าในระบบได้อีกด้วย

Cloudflare ระบุว่า Indicators of Compromise (IoCs) ที่ได้จากการโจมตีในครั้งนี้ได้ถูกนำมาใส่ในบริการ DDoS Botnet Threat Feed ของบริษัทแล้ว ซึ่งเป็นบริการฟรีที่ช่วยให้องค์กรต่าง ๆ สามารถบล็อก IP Address ที่เป็นอันตรายได้ล่วงหน้า

ปัจจุบันมีองค์กรกว่า 600 แห่งที่สมัครใช้บริการนี้แล้ว และ Cloudflare ก็ได้เรียกร้องให้องค์กรอื่น ๆ ที่เสี่ยงต่อถูกการโจมตีแบบ DDoS ขนาดใหญ่ มาสมัครใช้บริการเช่นเดียวกัน เพื่อสกัดกั้นการโจมตีก่อนที่จะเข้าถึงโครงสร้างพื้นฐานของพวกเขาได้

 

ที่มา : bleepingcomputer.

Cloudflare แจ้งเตือนการโจมตีแบบ DDoS ที่มุ่งเป้าไปที่นักข่าว และองค์กรสื่อ

บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ Cloudflare ออกคำเตือนอย่างชัดเจนเกี่ยวกับภัยคุกคามที่ทวีความรุนแรงขึ้นที่องค์กรสื่ออิสระทั่วโลกต้องเผชิญ โดยเปิดเผยว่านักข่าว และสำนักข่าวต่าง ๆ ได้กลายเป็นเป้าหมายหลักของการโจมตีแบบ Distributed Denial-of-Service (DDoS) ที่มีความซับซ้อน (more…)

Botnet ตัวใหม่ HTTPBot เปิดตัวการโจมตีแบบ DDoS ที่มีความแม่นยำสูงมากกว่า 200 ครั้ง โดยมุ่งเป้าไปที่ภาคส่วนอุตสาหกรรม Gaming และ Technology

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงมัลแวร์ botnet ตัวใหม่ที่ชื่อ HTTPBot ซึ่งถูกใช้เพื่อมุ่งเป้าโจมตีไปที่อุตสาหกรรมเกม รวมถึงบริษัทเทคโนโลยี และสถาบันการศึกษาในประเทศจีน

NSFOCUS ระบุว่า “ในช่วงหลายเดือนที่ผ่านมา HTTPBot ได้ขยายตัวอย่างรวดเร็ว โดยใช้อุปกรณ์ที่ติดมัลแวร์เป็นฐานในการโจมตีระบบภายนอกอย่างต่อเนื่อง และใช้การโจมตีแบบ simulated HTTP Flood ที่มาพร้อมกับเทคนิคการ obfuscation ทำให้สามารถหลบหลีกระบบตรวจจับแบบ rule-based ได้”

HTTPBot ถูกพบครั้งแรกในเดือนสิงหาคม 2024 โดยได้รับชื่อจากการใช้โปรโตคอล HTTP ในการโจมตีแบบ DDoS (Distributed Denial-of-Service) โดยมัลแวร์ตัวนี้ถูกเขียนด้วยภาษา Golang ซึ่งถือเป็นเรื่องที่ค่อนข้างผิดปกติ เนื่องจากเป้าหมายหลักเป็นระบบปฏิบัติการ Windows

Botnet trojan ที่ทำงานบนระบบ Windows ตัวนี้ ถูกใช้ในการโจมตีเป้าหมายแบบเฉพาะเจาะจงอย่างแม่นยำ โดยมุ่งเป้าไปที่ business interfaces ที่มีมูลค่าสูง เช่น ระบบการล็อกอินเกม และระบบการชำระเงิน

บริษัทที่มีสำนักงานใหญ่ในปักกิ่ง ระบุว่า “การโจมตีที่มีความแม่นยำสูงนี้ ก่อให้เกิดภัยคุกคามต่ออุตสาหกรรมที่ต้องพึ่งพาการโต้ตอบแบบเรียลไทม์ นอกจากนี้ HTTPBot ถือเป็นจุดเปลี่ยนแนวทางของการโจมตีแบบ DDoS โดยจากเดิมที่จะเน้นการใช้ทราฟฟิกโจมตีแบบไม่ระบุเป้าหมาย (indiscriminate traffic suppression) ไปสู่การโจมตีจุดสำคัญของธุรกิจอย่างแม่นยำ (high-precision business strangulation)”

มีการคาดการณ์ว่า HTTPBot ถูกใช้ในการโจมตีไปแล้วไม่น้อยกว่า 200 ครั้ง นับตั้งแต่ต้นเดือนเมษายน 2025 ที่ผ่านมา โดยการโจมตีเหล่านี้มุ่งเป้าไปที่ อุตสาหกรรมเกม, บริษัทเทคโนโลยี, สถาบันการศึกษา และเว็บไซต์ด้านการท่องเที่ยวในประเทศจีน

เมื่อมัลแวร์ถูกติดตั้ง และเริ่มทำงาน มัลแวร์จะซ่อน graphical user interface (GUI) ของตัวเอง เพื่อหลีกเลี่ยงการถูกตรวจสอบจากทั้งผู้ใช้งาน และเครื่องมือรักษาความปลอดภัย โดยมีเป้าหมายเพื่อเพิ่มความสามารถในการแอบแฝงเพื่อการโจมตี นอกจากนี้มัลแวร์ยังใช้วิธีการปรับแต่ง Windows Registry โดยไม่ได้รับอนุญาต เพื่อให้สามารถทำงานได้โดยอัตโนมัติทุกครั้งที่ระบบเริ่มทำงาน

จากนั้น botnet ตัวนี้จะดำเนินการเชื่อมต่อกับเซิร์ฟเวอร์ command-and-control (C2) เพื่อรอรับคำสั่งเพิ่มเติมในการดำเนินการโจมตีแบบ HTTP flood ซึ่งจะทำโดยการส่ง HTTP request ปริมาณมหาศาลไปยังเป้าหมายที่กำหนดไว้ นอกจากนี้ HTTPBot ยังรองรับโมดูลการโจมตีหลากหลายรูปแบบ โดยมีรายละเอียดดังต่อไปนี้ :

BrowserAttack: เป็นการโจมตีที่ใช้ instances ของ Google Chrome ที่ซ่อนอยู่ เพื่อเลียนแบบ traffic ให้ดูเหมือนถูกต้องตามปกติ ขณะเดียวกันก็จะดึงทรัพยากรของเซิร์ฟเวอร์ไปใช้ทั้งหมด
HttpAutoAttack: เป็นการโจมตีที่ใช้ คุกกี้ (Cookies-based) เพื่อจำลองเซสชันให้ดูเหมือนเป็นของผู้ใช้จริงมากที่สุด
HttpFpDlAttack: เป็นการโจมตีที่ใช้โปรโตคอล HTTP/2 ที่มีประสิทธิภาพสูงกว่ารุ่นเก่า (HTTP/1.1) ที่พยายามมุ่งเน้นในการเพิ่มภาระของ CPU loader บนเซิร์ฟเวอร์ โดยบังคับให้เซิร์ฟเวอร์ตอบสนองด้วยข้อมูลขนาดใหญ่กลับมา
WebSocketAttack: เป็นการโจมตีที่ใช้โปรโตคอล "ws://" และ "wss://" เพื่อสร้างการเชื่อมต่อแบบ WebSocket กับเป้าหมาย
PostAttack: เป็นการโจมตีที่ใช้ HTTP POST request อย่างต่อเนื่องเพื่อส่งข้อมูลเข้าสู่เซิร์ฟเวอร์เป้าหมาย
CookieAttack: เป็นการโจมตีที่เพิ่ม cookie processing flow เข้าไปในวิธีการโจมตีแบบ BrowserAttack เพื่อเพิ่มความซับซ้อน และความสมจริงในการจำลอง traffic

NSFOCUS ระบุเพิ่มเติมว่า "โดยทั่วไปแล้ว ตระกูล DDoS Botnet มักจะรวมกลุ่มกันอยู่บนแพลตฟอร์ม Linux และอุปกรณ์ IoT อย่างไรก็ตาม ตระกูล HTTPBot Botnet กลับมุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ"

"ด้วยการจำลอง protocol layers อย่างลึกซึ้ง และเลียนแบบพฤติกรรมของเบราว์เซอร์จริง HTTPBot จึงสามารถหลบเลี่ยงระบบป้องกันที่อาศัย protocol integrity ได้ นอกจากนี้มันยังเข้าควบคุมทรัพยากรเซสชันของเซิร์ฟเวอร์อย่างต่อเนื่อง ผ่าน URL paths ที่สุ่มขึ้นมา และกลไก cookie replenishment แทนที่จะอาศัยแค่ปริมาณทราฟฟิกจำนวนมากเพียงอย่างเดียว"

ที่มา : thehackernews.

สหรัฐฯ ประกาศเข้ายึด Botnet พร้อมตั้งข้อหาผู้ดูแลระบบชาวรัสเซีย

กระทรวงยุติธรรมสหรัฐฯ และทีม Black Lotus Labs ของบริษัทโทรคมนาคม Lumen Technologies ได้ประกาศเมื่อวันศุกร์ถึงการยุติการให้บริการพร็อกซีสองรายที่ขับเคลื่อนโดย Botnet ซึ่งประกอบด้วยอุปกรณ์ที่ถูกแฮ็กหลายพันเครื่อง (more…)

Europol ปิดบริการ DDoS-for-Hire จำนวน 6 แห่ง หลังถูกใช้ในการโจมตีทั่วโลก

 

Europol ประกาศปิดบริการให้เช่าการโจมตีแบบ Distributed Denial of Service (DDoS) หลังถูกใช้ในการโจมตีทางไซเบอร์จำนวนหลายพันครั้งทั่วโลก (more…)

Hackers ใช้ประโยชน์จากช่องโหว่ใน Samsung MagicINFO และอุปกรณ์ IoT ของ GeoVision เพื่อแพร่กระจายมัลแวร์ Mirai Botnet

กลุ่มผู้ไม่หวังดีถูกพบว่ากำลังใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในอุปกรณ์ Internet of Things (IoT) ของ GeoVision ที่สิ้นสุดการสนับสนุนไปแล้ว เพื่อควบคุมอุปกรณ์เหล่านั้นให้เป็นส่วนหนึ่งของเครือข่ายมัลแวร์ Mirai Botnet สำหรับใช้ในการโจมตีแบบ DDoS (more…)

DeepSeek หยุดการลงทะเบียนใหม่ เนื่องจากการถูกโจมตีทางไซเบอร์อย่างหนัก

DeepSeek แพลตฟอร์ม AI ของจีน ได้ปิดการลงทะเบียนบนแพลตฟอร์มแชท DeepSeek-V3 เนื่องจากกำลังเผชิญกับ "การโจมตีทางไซเบอร์ขนาดใหญ่" ที่มุ่งเป้าไปที่บริการของพวกเขา

(more…)

Mirai Botnet โจมตีแบบ DDoS ครั้งใหญ่ด้วยปริมาณ 5.6 Tbps โดยใช้อุปกรณ์ IoT มากกว่า 13,000 เครื่อง

Cloudflare ได้เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า ได้ตรวจพบและป้องกันการโจมตีแบบ Distributed Denial-of-Service (DDoS) ด้วยความเร็วสูงถึง 5.6 เทราบิตต่อวินาที (Tbps) ซึ่งเป็นการโจมตีที่ใหญ่ที่สุดเท่าที่เคยมีการรายงานมา

การโจมตีดังกล่าวใช้โปรโตคอล UDP เกิดขึ้นเมื่อวันที่ 29 ตุลาคม 2024 ที่ผ่านมา โดยมีเป้าหมายโจมตีลูกค้ารายหนึ่งของบริษัท ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อจากเอเชียตะวันออก ซึ่งการโจมตีในครั้งนี้มีต้นตอมาจาก Mirai-variant botnet

Omer Yoachimik และ Jorge Pacheco จาก Cloudflare ระบุว่า "การโจมตีครั้งนี้เกิดขึ้นเพียง 80 วินาที และมาจากอุปกรณ์ IoT มากกว่า 13,000 เครื่อง"

ทั้งนี้ จำนวนเฉลี่ยของ Source IP จากต้นทางที่มีการตรวจพบ เฉลี่ยต่อวินาทีอยู่ที่ 5,500 IP โดยแต่ละ IP มีปริมาณการโจมตีโดยเฉลี่ยประมาณ 1 Gbps ต่อวินาที

สถิติเดิมของการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงสุดเท่าที่เคยถูกบันทึกโดย Cloudflare ในเดือนตุลาคม 2024 ที่ผ่านมา โดยมีความเร็วสูงสุดอยู่ที่ 3.8 Tbps

Cloudflare ยังเปิดเผยอีกว่าในปี 2024 บริษัทได้ป้องกันการโจมตีแบบ DDoS ได้ประมาณ 21.3 ล้านครั้ง ซึ่งเพิ่มขึ้น 53% เมื่อเทียบกับปี 2023 และจำนวนการโจมตีที่มีปริมาณข้อมูลเกิน 1 Tbps เพิ่มขึ้นถึง 1,885% เมื่อเทียบกับไตรมาสก่อนหน้านี้ โดยเฉพาะในไตรมาสที่ 4 ของปี 2024 มีการป้องกันการโจมตีแบบ DDoS มากถึง 6.9 ล้านครั้ง

สถิติที่น่าสนใจอื่น ๆ ที่พบในไตรมาสที่ 4 ของปี 2024 มีดังต่อไปนี้ :

DDoS botnets ที่เป็นที่รู้จักมีส่วนเกี่ยวข้องกับการโจมตีแบบ HTTP DDoS ถึง 72.6% ของการโจมตีทั้งหมด
รูปแบบการโจมตีที่พบบ่อยมากที่สุด 3 อันดับแรกในระดับ Layer 3 และ Layer 4 ได้แก่ การโจมตีแบบ SYN floods (38%), การโจมตีแบบ DNS flood (16%), และการโจมตีแบบ UDP floods (14%)
การโจมตีแบบ Memcached DDoS, การโจมตีแบบ BitTorrent DDoS, และการโจมตีแบบ ransom DDoS มีอัตราเพิ่มขึ้น 314%, 304%, และ 78% ตามลำดับเมื่อเทียบกับไตรมาสก่อน
ประมาณ 72% ของการโจมตีแบบ HTTP DDoS และ 91% ของการโจมตีแบบ DDoS ใน network layer จบลงภายในเวลาไม่เกิน 10 นาที
อินโดนีเซีย, ฮ่องกง, สิงคโปร์, ยูเครน และอาร์เจนตินา เป็นแหล่งที่มาของการโจมตีแบบ DDoS ที่ใหญ่ที่สุด
จีน, ฟิลิปปินส์, ไต้หวัน, ฮ่องกง และเยอรมนี เป็นประเทศที่ถูกโจมตีมากที่สุด
ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ โทรคมนาคม, อินเทอร์เน็ต, การตลาด, เทคโนโลยีสารสนเทศ และการพนัน

ในขณะเดียวกันที่บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Qualys และ Trend Micro เปิดเผยว่าได้ตรวจพบมัลแวร์สายพันธุ์ย่อยของ Mirai botnet ที่กำลังโจมตีอุปกรณ์ Internet of Things (IoT) โดยใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักและข้อมูล Credentials เพื่อใช้เป็นช่องทางในการโจมตีแบบ DDoS อีกด้วย

ที่มา : thehackernews.

Cisco ได้แก้ไขช่องโหว่ DoS บนระบบ VPN ที่พบจากการโจมตีแบบ password spray

Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

Internet Archive ถูกโจมตี ข้อมูลผู้ใช้งานรั่วไหล 31 ล้านคน

"The Wayback Machine" ของ Internet Archive ประสบปัญหาข้อมูลรั่วไหลหลังจากผู้ไม่หวังดีโจมตีเว็บไซต์ และขโมยฐานข้อมูลการยืนยันตัวตนของผู้ใช้งานที่ไม่ซ้ำกันถึง 31 ล้านรายการ (more…)