Sysrv botnet กำหนดเป้าหมายเซิร์ฟเวอร์ Windows และ Linux ด้วยช่องโหว่ใหม่

Microsoft กล่าวว่า Sysrv botnet กำลังใช้ประโยชน์จากช่องโหว่ใน Spring Framework และ WordPress เพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

Microsoft ค้นพบมัลแวร์ Sysrv สายพันธุ์ใหม่ที่ชื่อว่า Sysrv-K ที่ถูกพัฒนาให้มีความสามารถมากขึ้น และยังสามารถสแกนหา WordPress ที่ไม่ได้แพตช์ และมีการใช้ Spring

โดยทีม Microsoft Security Intelligence กล่าวในเธรดบน Twitter ถึง Sysrv-K ที่มีความสามารถเข้าควบคุมเว็บเซิร์ฟเวอร์ได้โดยใช้ประโยชน์จากช่องโหว่ต่างๆ โดยช่องโหว่เหล่านี้ได้มีการแก้ไขแล้วด้วยการอัปเดตความปลอดภัย รวมถึงช่องโหว่เก่าใน WordPress plugins และช่องโหว่ใหม่ๆ เช่น CVE-2022-22947

CVE-2022-22947 เป็นช่องโหว่ Code injection บน Spring Cloud Gateway library ที่ทำให้ถูกโจมตีในรูปแบบ remote code execution บนระบบที่ยังไม่ได้อัปเดตแพตช์ได้ โดยในส่วนหนึ่งของความสามารถใหม่เหล่านี้ Sysrv-K จะสแกนหา configuration files และ backups ของ WordPress เพื่อขโมย database credentials และใช้ในการเข้าควบคุมเว็บเซิร์ฟเวอร์

Sysrv กำลังสแกนจากอินเทอร์เน็ต เพื่อหาเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่ในองค์กร เพื่อติดตั้ง Monero (XMRig) miners และเพย์โหลดมัลแวร์อื่นๆ

ในการแฮ็กเข้าสู่เว็บเซิร์ฟเวอร์เหล่านี้ botnet จะใช้ประโยชน์จากช่องโหว่ในเว็บแอป และฐานข้อมูล เช่น PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic และ Apache Struts

หลังจากติดตั้ง cryptocurrency miners และปรับใช้ payloads ของตัวเองแล้ว Sysrv ยังแพร่กระจายตัวเองโดยอัตโนมัติบนเครือข่ายผ่านการ brute force attacks โดยใช้ SSH private keys ที่รวบรวมจากเซิร์ฟเวอร์ที่ติดมัลแวร์ (เช่น bash history, ssh config, and known_hosts files)

botnet propagator จะสแกนไปบนอินเทอร์เน็ตเพื่อหาระบบ Windows และ Linux ที่มีช่องโหว่ให้มากขึ้น เพื่อทำการเพิ่ม Monero mining bots

ที่มา : www.

นักวิจัยด้านความปลอดภัยแจ้งเตือนผู้ดูแลระบบ F5 BIG-IP ให้รีบติดตั้งแพตซ์อัปเดตด้านความปลอดภัยล่าสุดทันที หลังจากพบว่ามีการสร้าง Exploits ที่ใช้สำหรับการโจมตีช่องโหว่ Remote code execution (CVE-2022-1388) เรียบร้อยแล้ว

เมื่อสัปดาห์ที่ผ่านมา F5 ออกมาเปิดเผยช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ที่มีหมายเลข CVE-2022-1388 โดยช่องโหว่นี้เกิดจากระบบ BIG-IP iControl REST และทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และสั่งรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์ระดับสูงได้

เนื่องจาก F5 BIG-IP ถูกใช้ในองค์กรต่างๆจำนวนมาก ช่องโหว่นี้จึงมีความเสี่ยงสูงมาก เนื่องจากจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเหยื่อในขั้นต้น แล้วจึงค่อยแพร่กระจายไปยังอุปกรณ์อื่นๆ

การโจมตีประเภทนี้สามารถใช้เพื่อขโมยข้อมูลขององค์กร หรือติดตั้ง ransomware บนอุปกรณ์ทั้งหมดบนเครือข่าย

Exploits ถูกสร้างได้ง่ายมาก

สุดสัปดาห์นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Horizon3 และ Positive Technologies ต่างก็สามารถสร้าง Exploits ** สำหรับช่องโหว่ F5 BIG-IP ดังกล่าวได้ พวกเขาเตือนว่าผู้ดูแลระบบทุกคนควรอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด

Zach Hanley จาก Horizon3 ให้ข้อมูลกับ BleepingComputer ว่าพวกเขาใช้เวลาเพียงสองวันในการสร้าง Exploits และคาดว่าผู้โจมตีจะเริ่มทำการโจมตีช่องโหว่ดังกล่าวในเร็วๆ นี้

Hanley บอกกับ BleepingComputer ผ่านอีเมลว่า "หากดูจากวิธีการแก้ไขชั่วคราวที่ออกมาจาก F5 สำหรับ CVE-2022-1388 ถือเป็นข้อมูลที่สำคัญมากในการทำ reverse application เพื่อสร้างเครื่องมือในการโจมตี ซึ่งคาดว่าผู้โจมตีรายอื่นๆก็อาจพบวิธีการสร้างเครื่องมือที่ใช้ในการโจมตีได้เช่นเดียวกัน"

Hanley ยังเตือนด้วยว่าผลกระทบจากการโจมตีช่องโหว่นี้นอกจากจะช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แล้ว ยังสามารถทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในองค์กรได้อีกด้วย

โดยนักวิจัยจาก Rapid7 จาค็อบ เบนส์ ทวีตว่าพบอุปกรณ์มากกว่า 2,500 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงอย่างมากต่อองค์กร

Horizon3 กล่าวว่าพวกเขาจะเผยแพร่ PoC ที่ใช้ในการทดสอบการโจมตีออกสู่สาธารณะภายในสัปดาห์นี้ เพื่อผลักดันให้องค์กรต่างๆรีบอัปเดตอุปกรณ์ของตนโดยด่วน

ติดตั้งการอัปเดตด้านความปลอดภัยทันที!

F5 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ F5 BIG-IP เรียบร้อยแล้ว ซึ่งผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชันดังต่อไปนี้:

BIG-IP versions 16.1.0 to 16.1.2 (Patch released)
BIG-IP versions 15.1.0 to 15.1.5 (Patch released)
BIG-IP versions 14.1.0 to 14.1.4 (Patch released)
BIG-IP versions 13.1.0 to 13.1.4 (Patch released)
BIG-IP versions 12.1.0 to 12.1.6 (End of Support)
BIG-IP versions 11.6.1 to 11.6.5 (End of Support)
เวอร์ชัน 11.x และ 12.x จะไม่ได้รับการอัปเดตด้านความปลอดภัย และควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.