F5 แจ้งเตือนช่องโหว่การยกระดับสิทธิ์บน BIG-IP

F5 เผยแพร่การพบช่องโหว่ในฟังก์ชัน BIG-IP monitor ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ที่มีสิทธิ์เป็น Manager role เป็นอย่างน้อย สามารถยกระดับสิทธิ์ หรือแก้ไขการกำหนดค่าได้

CVE-2024-45844 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ซึ่งมีสิทธิ์ Manager role ขึ้นไป ที่มีสิทธิ์เข้าถึง Configuration utility หรือ TMOS Shell (tmsh) สามารถยกระดับสิทธิ์ของตน และโจมตีระบบ BIG-IP ได้ ทั้งนี้ช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับ data plane แต่ส่งผลกระทบต่อ control plane เท่านั้น ถูกค้นพบโดย myst404 (@myst404_) นักวิจัยจาก Almond

CVE-2024-45844 ส่งผลกระทบต่อ BIG-IP เวอร์ชันดังต่อไปนี้ :

17.1.0 - 17.1.1 >> อัปเดตเป็นเวอร์ชัน 17.1.1.4

16.1.0 - 16.1.4 >>  อัปเดตเป็นเวอร์ชัน16.1.5

15.1.0 - 15.1.10 >> อัปเดตเป็นเวอร์ชัน15.1.10.5

การลดผลกระทบ

หากผู้ดูแลระบบยังไม่สามารถแก้ไขช่องโหว่ได้ในทันที ทาง F5 ได้แนะนำผู้ดูแลระบบทำการจำกัดสิทธิ์การเข้าถึง Configuration utility หรือ command line ผ่าน SSH เฉพาะผู้ที่ได้รับอนุญาติ หรือมีสิทธิ์เท่านั้น เพื่อป้องกันการถูกโจมตีจากช่องโหว่ จนกว่าจะสามารถทำการอัปเดตเพื่อแก้ไขช่องโหว่ได้

ที่มา : https://my.

พบช่องโหว่ระดับความรุนแรงสูงใน Cisco IOx และ F5 BIG-IP

ช่องโหว่ F5 BIG-IP

F5 ได้ออกประกาศเผยแพร่ช่องโหว่ระดับความรุนแรงสูง ที่ส่งผลกระทบต่ออุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) จากการเรียกใช้งานคำสั่งจากระยะไกล

โดยช่องโหว่มีหมายเลข CVE-2023-22374 (คะแนน CVSS: 7.5/8.5 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่เกิดจากอินเทอร์เฟซ iControl Simple Object Access Protocol ( SOAP) เนื่องจากอินเทอร์เฟซ iCONtrol SOAP ทำงานในสิทธิ Root เมื่อ Hacker โจมตีสำเร็จก็จะได้สิทธิ Root ไปด้วย ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้

ซึ่งการโจมตีเกิดขึ้นโดยการแทรกอักขระสตริงรูปแบบใดก็ได้ลงในพารามิเตอร์การค้นหาที่ส่งผ่านไปยัง syslog โดยช่องโหว่ดังกล่าวถูกค้นพบ และรายงานช่องโหว่จากบริษัท Rapid7 เมื่อวันที่ 6 ธันวาคม 2022

F5 BIG-IP version ที่ได้รับผลกระทบ

version 13.1.5
version 14.1.4.6 - 14.1.5
version 15.1.5.1 - 15.1.8
version 16.1.2.2 - 16.1.3 และ 17.0.0

การป้องกัน

จำกัดการเข้าถึง iControl SOAP API ไว้เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น

ช่องโหว่ Command Injection ใน Cisco IOx

Cisco ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่บน application hosting environment บน Cisco IOx ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล รวมไปถึงเรียกใช้งานเพย์โหลดที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ และ backdoor

CVE-2023-20076 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่โหว่บน application hosting environment ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลด้วยสิทธิ Root บน host operating system

Trellix บริษัทด้านความปลอดภัยทางไซเบอร์ เป็นผู้ที่ค้นพบช่องโหว่ดังกล่าว รวมถึงได้ทำการวิเคราะห์ และพบว่า ช่องโหว่ CVE-2023-20076 สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย ด้วยไฟล์ TAR archive extraction ซึ่งอาจอนุญาตให้เขียนใน host operating system ด้วยสิทธิ Root และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตราย ในการติดตั้ง backdoor บนเครื่องที่ถูกโจมตี รวมไปถึงสามารถที่จะฝังตัวอยู่ในระบบ (Persistence) ถึงแม้จะมีการรีบูตระบบ และการอัปเกรดเฟิร์มแวร์ก็ตาม ซึ่งจะลบออกได้หลังจากรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเท่านั้น

ถึงแม้ว่าในการโจมตีช่องโหว่ดังกล่าว จำเป็นต้องได้รับการพิสูจน์ตัวตน และมีสิทธิ์ของผู้ดูแลระบบ แต่ Hacker ก็มีหลากหลายวิธีที่จะเพิ่มระดับสิทธิ์บนระบบได้ เช่น phishing หรือการทำ social engineering เพื่อขโมยข้อมูลจากเหยื่อที่เป็นเป้าหมาย

ปัจจุบันทาง Cisco ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่ดังกล่าวแล้ว

อุปกรณ์ Cisco ที่ได้รับผลกระทบ

ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE และเปิดใช้งานคุณสมบัติ Cisco IOx

Cisco 800 Series Industrial ISRs
Cisco Catalyst Access Points
Cisco CGR1000 Compute Modules
Cisco IC3000 Industrial Compute Gateways
Cisco IR510 WPAN Industrial Routers

การป้องกัน

ผู้ดูแลระบบควรเร่งอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews

มัลแวร์ EnemyBot เพิ่มวิธีการโจมตีโดยใช้ช่องโหว่ระดับ Critical บน VMware และ F5 BIG-IP

EnemyBot เป็นบ็อตเน็ตที่ใช้โค้ดจากมัลแวร์หลายตัว โดยปัจจุบันกำลังขยายการโจมตีโดยใช้ช่องโหว่ความรุนแรงระดับ Critical บน Web servers, CMS, IoT และอุปกรณ์ Android

บ็อตเน็ตถูกพบครั้งแรกในเดือนมีนาคมโดยนักวิจัยจาก Securonix และในเดือนเมษายนเมื่อมีการวิเคราะห์ตัวอย่างตัวใหม่ที่ตรวจพบจากทาง Fortinet พบว่ามัลแวร์ EnemyBot ได้รวมช่องโหว่ต่างๆของ Processor architectures ไว้เป็นจำนวนมาก ซึ่งวัตถุประสงค์หลักของมัลแวร์คือการโจมตีแบบ distributed denial-of-service (DDoS) และมัลแวร์ยังมีโมดูลสำหรับการสแกนหาอุปกรณ์เป้าหมาย และการแพร่กระจายมัลแวร์

EnemyBot เวอร์ชันใหม่

จากรายงานใหม่ของ AT&T Alien Labs ระบุว่ามัลแวร์ EnemyBot เวอร์ชันล่าสุดมีการรวมเอาช่องโหว่กว่า 24 รายการ ซึ่งส่วนใหญ่มีระดับความรุนแรง Critical แต่มีหลายช่องโหว่ที่ยังไม่มีหมายเลข CVE ซึ่งทำให้ผู้ดูแลระบบป้องกันได้ยากขึ้น

เมื่อเดือนเมษายน ช่องโหว่ส่วนใหญ่จะเกี่ยวข้องกับ Router และอุปกรณ์ IoT โดยมีหมายเลขช่องโหว่เป็น CVE-2022-27226 (iRZ) และ CVE-2022-25075 (TOTOLINK) ซึ่งเป็นช่องโหว่ล่าสุด และส่วนใหญ่จะเป็นช่องโหว่เกี่ยวกับ Log4Shell

โดยเวอร์ชันใหม่ที่ถูกวิเคราะห์โดย AT&T Alien Labs ได้รวมข้อมูลช่องโหว่ที่ตัวมัลแวร์จะใช้ในการโจมตีไว้ดังต่อไปนี้:

CVE-2022-22954: Critical (CVSS: 9.8) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลต่อ VMware Workspace ONE Access และ VMware Identity Manager ซึ่งมี PoC (proof of concept) exploit ที่มีการเผยแพร่ในเดือนเมษายน พ.ศ. 2565
CVE-2022-22947: ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลใน Spring โดยเป็นช่องโหว่ Zero-day ที่มีการแก้ไขในเดือนมีนาคม 2022 และเดือนเมษายน 2022
CVE-2022-1388: Critical (CVSS: 9.8) ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ส่งผลกระทบต่อ F5 BIG-IP ซึ่งมี PoC ออกมาในช่วงเดือนพฤษภาคม พ.ศ. 2565 และได้ถูกนำมาใช้ในการโจมตีทันที

กลุ่ม Keksec ที่อยู่เบื้องหลังมัลแวร์ EnemyBot กำลังพัฒนามัลแวร์ และมีโปรเจ็กต์ที่เกี่ยวกับการโจมตีอื่น ๆ เช่น: Tsunami, Gafgyt, DarkHTTP, DarkIRC และ Necro และดูเหมือนว่ากลุ่มดังกล่าวจะมีนักพัฒนามัลแวร์ที่มีประสบการณ์ ซึ่งมีความมุ่งมั่นเป็นพิเศษสำหรับโปรเจ็กต์ใหม่ๆ โดยมีการเพิ่มการโจมตีโดยใช้ช่องโหว่ใหม่ๆ หลังจากที่มีการเผยแพร่ในทันที ซึ่งทำให้กลุ่มดังกล่าวสามารถนำช่องโหว่มาใช้ในการโจมตีได้ก่อนที่ผู้ดูแลระบบจะทำการแก้ไข

คำแนะนำในการป้องกัน

อัปเดตแพตช์ผลิตภัณฑ์ และซอฟต์แวร์ทันทีที่มีการอัปเดต และควรตรวจสอบการรับส่งข้อมูลภายใน และภายนอกเครือข่ายอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

 

 

ช่องโหว่ Critical บน F5 BIG-IP เริ่มถูกใช้ในการโจมตีเพื่อลบข้อมูลบนระบบ

ช่องโหว่บน F5 BIG-IP ที่ถูกเปิดเผยออกมาเมื่อเร็วๆ นี้ เริ่มถูกนำมาใช้ในการโจมตีโดยการพยายามลบ file system บนเครื่อง BIG-IP ของเหยื่อ เพื่อทำให้ระบบไม่สามารถเข้าใช้งานได้

เมื่อสัปดาห์ที่แล้ว F5 เปิดเผยช่องโหว่หมายเลข CVE-2022-1388 ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งบนอุปกรณ์ BIG-IP ด้วยสิทธิ์ 'root' โดยไม่ต้องมีการตรวจสอบสิทธิ์ เนื่องจากระดับความอันตรายของช่องโหว่ดังกล่าว F5 แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตซ์โดยเร็วที่สุด

ไม่กี่วันต่อมานักวิจัยปล่อย exploits ที่ใช้สำหรับทดสอบการโจมตีออกสู่สาธารณะทั้งทาง Twitter และ GitHub ซึ่งทำให้ผู้โจมตีทั่วไปสามารถนำมาปรับใช้ในการโจมตีได้

แม้ว่าการโจมตีส่วนใหญ่จะใช้เพื่อ drop webshells เพื่อใช้ในการเข้าถึงเครือข่ายในเบื้องต้น, ขโมยคีย์ SSH และระบุข้อมูลบนระบบ แต่ล่าสุดทาง SANS Internet Storm Center พบว่ามีการโจมตีสองครั้งที่โจมตีอุปกรณ์ BIG-IP ในลักษณะที่ร้ายแรงกว่ามาก

SANS กล่าวว่า honeypots ของพวกเขาพบการโจมตีสองครั้งที่มาจาก IP 177.54.127[.]111 ที่มีการสั่งรันคำสั่ง 'rm -rf /' บนอุปกรณ์ BIG-IP ของเป้าหมาย ซึ่งคำสั่งนี้เป็นความพยายามจะลบไฟล์ทั้งหมดบนระบบ Linux ของอุปกรณ์ BIG-IP เนื่องจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีมีสิทธิ์ root ในระบบปฏิบัติการ Linux คำสั่ง rm -rf / จึงสามารถลบไฟล์ได้เกือบทุกไฟล์ รวมถึงไฟล์ configuration ที่จำเป็นสำหรับอุปกรณ์

การโจมตีรูปแบบนี้อาจยังพบไม่มากนัก เพราะผู้โจมตีส่วนใหญ่ต้องการเข้าควบคุมอุปกรณ์มากกว่าสร้างความเสียหาย

บริษัทข่าวกรองด้านภัยคุกคามความปลอดภัยทางไซเบอร์ Bad Packets และ GreyNoise กล่าวว่าพวกเขาไม่พบการโจมตีในลักษณะดังกล่าวบน honeypots ของพวกเขา

Kimber นักวิจัยของ GreyNoise กล่าวว่าส่วนใหญ่พฤติกรรมที่เห็นจะเป็นการ drop webshells, exfiltrate configs หรือเรียกใช้คำสั่งเพื่อสร้างบัญชีผู้ดูแลระบบบนอุปกรณ์ ซึ่งการโจมตีที่เกิดขึ้นทำให้ผู้ดูแลระบบจำเป็นต้องอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุด และไม่เปิดให้เข้าถึงหน้า management ของ BIG-IP จากภายนอก

ที่มา : bleepingcomputer.

พบการสร้าง Exploits สำหรับใช้โจมตีช่องโหว่ Critical บน F5 BIG-IP แล้ว องค์กรควรรีบอัปเดตแพตช์ทันที!

นักวิจัยด้านความปลอดภัยแจ้งเตือนผู้ดูแลระบบ F5 BIG-IP ให้รีบติดตั้งแพตซ์อัปเดตด้านความปลอดภัยล่าสุดทันที หลังจากพบว่ามีการสร้าง Exploits ที่ใช้สำหรับการโจมตีช่องโหว่ Remote code execution (CVE-2022-1388) เรียบร้อยแล้ว

เมื่อสัปดาห์ที่ผ่านมา F5 ออกมาเปิดเผยช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ที่มีหมายเลข CVE-2022-1388 โดยช่องโหว่นี้เกิดจากระบบ BIG-IP iControl REST และทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และสั่งรันคำสั่งที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์ระดับสูงได้

เนื่องจาก F5 BIG-IP ถูกใช้ในองค์กรต่างๆจำนวนมาก ช่องโหว่นี้จึงมีความเสี่ยงสูงมาก เนื่องจากจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อเข้าถึงเครือข่ายของเหยื่อในขั้นต้น แล้วจึงค่อยแพร่กระจายไปยังอุปกรณ์อื่นๆ

การโจมตีประเภทนี้สามารถใช้เพื่อขโมยข้อมูลขององค์กร หรือติดตั้ง ransomware บนอุปกรณ์ทั้งหมดบนเครือข่าย

Exploits ถูกสร้างได้ง่ายมาก

สุดสัปดาห์นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Horizon3 และ Positive Technologies ต่างก็สามารถสร้าง Exploits ** สำหรับช่องโหว่ F5 BIG-IP ดังกล่าวได้ พวกเขาเตือนว่าผู้ดูแลระบบทุกคนควรอัปเดตอุปกรณ์ของตนโดยเร็วที่สุด

Zach Hanley จาก Horizon3 ให้ข้อมูลกับ BleepingComputer ว่าพวกเขาใช้เวลาเพียงสองวันในการสร้าง Exploits และคาดว่าผู้โจมตีจะเริ่มทำการโจมตีช่องโหว่ดังกล่าวในเร็วๆ นี้

Hanley บอกกับ BleepingComputer ผ่านอีเมลว่า "หากดูจากวิธีการแก้ไขชั่วคราวที่ออกมาจาก F5 สำหรับ CVE-2022-1388 ถือเป็นข้อมูลที่สำคัญมากในการทำ reverse application เพื่อสร้างเครื่องมือในการโจมตี ซึ่งคาดว่าผู้โจมตีรายอื่นๆก็อาจพบวิธีการสร้างเครื่องมือที่ใช้ในการโจมตีได้เช่นเดียวกัน"

Hanley ยังเตือนด้วยว่าผลกระทบจากการโจมตีช่องโหว่นี้นอกจากจะช่วยให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้แล้ว ยังสามารถทำให้ผู้โจมตีสามารถเข้าถึงเครือข่ายภายในองค์กรได้อีกด้วย

โดยนักวิจัยจาก Rapid7 จาค็อบ เบนส์ ทวีตว่าพบอุปกรณ์มากกว่า 2,500 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งทำให้มีความเสี่ยงอย่างมากต่อองค์กร

Horizon3 กล่าวว่าพวกเขาจะเผยแพร่ PoC ที่ใช้ในการทดสอบการโจมตีออกสู่สาธารณะภายในสัปดาห์นี้ เพื่อผลักดันให้องค์กรต่างๆรีบอัปเดตอุปกรณ์ของตนโดยด่วน

ติดตั้งการอัปเดตด้านความปลอดภัยทันที!

F5 ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับ F5 BIG-IP เรียบร้อยแล้ว ซึ่งผู้ดูแลระบบควรอัปเดตเป็นเวอร์ชันดังต่อไปนี้:

BIG-IP versions 16.1.0 to 16.1.2 (Patch released)
BIG-IP versions 15.1.0 to 15.1.5 (Patch released)
BIG-IP versions 14.1.0 to 14.1.4 (Patch released)
BIG-IP versions 13.1.0 to 13.1.4 (Patch released)
BIG-IP versions 12.1.0 to 12.1.6 (End of Support)
BIG-IP versions 11.6.1 to 11.6.5 (End of Support)
เวอร์ชัน 11.x และ 12.x จะไม่ได้รับการอัปเดตด้านความปลอดภัย และควรอัปเกรดเป็นเวอร์ชันใหม่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

F5 แจ้งเตือนช่องโหว่ RCE ระดับ Critical บน F5 BIG-IP ซึ่งอาจส่งผลให้ถูกเข้าควบคุมระบบได้

F5 ได้ออกคำเตือนช่องโหว่ด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนระบบที่เข้าถึงได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ จากการดำเนินการกับไฟล์ และปิด services บน BIG-IP

ช่องโหว่นี้มีหมายเลข CVE-2022-1388 และมีระดับความรุนแรงของ CVSS v3 อยู่ที่ 9.8 ซึ่งอาจนำไปสู่การเข้าควบคุมระบบได้อย่างสมบูรณ์ โดยช่องโหว่จะเกิดขึ้นใน iControl REST component ซึ่งทำให้ผู้โจมตีสามารถส่ง request เพื่อ bypass การตรวจสอบจาก iControl REST บน BIG-IP

เนื่องจากการใช้งาน BIG-IP ในระบบที่สำคัญๆจำนวนมาก ทำให้วันนี้ทาง CISA ก็ได้ออกมาแจ้งเตือนถึงช่องโหว่ดังกล่าวด้วยเช่นเดียวกัน

โดยเวอร์ชันที่ได้รับผลกระทบมีดังนี้

BIG-IP versions 16.1.0 ถึง 16.1.2
BIG-IP versions 15.1.0 ถึง 16.1.5
BIG-IP versions 14.1.0 ถึง 14.1.4
BIG-IP versions 13.1.0 ถึง 13.1.4
BIG-IP versions 12.1.0 ถึง 12.1.6
BIG-IP versions 11.6.1 ถึง 11.6.5
ปัจจุบัน F5 ได้ออกแพตซ์แก้ไขออกมาแล้วในเวอร์ชัน v17.0.0, v16.1.2.2, v15.1.5.1, v14.1.4.6 และ v13.1.5 แต่เวอร์ชัน 12.x และ 11.x จะไม่มีแพตซ์ โดยที่ BIG-IQ Centralized Management, F5OS-A, F5OS-C และ Traffic SDC จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

หากองค์กรใดที่ยังไม่สามารถอัปเดตได้ทันทีมีวิธีแก้ปัญหาชั่วคราวได้ 3 ช่องทางคือ

1.) บล็อกการเข้าถึงอินเทอร์เฟส iControl REST บน BIG-IP แต่วิธีการนี้อาจกระทบกับการทำ HA

2.) จำกัดการเข้าถึงจากผู้ใช้ หรืออุปกรณ์ที่ได้รับอนุญาตเท่านั้น

3.) แก้ไขคอนฟิคใน httpd บน BIG-IP

พบอุปกรณ์ BIG-IP เปิดให้เข้าถึงได้กว่า 16,000 เครื่อง

Warfield Shodan แสดงให้เห็นว่าขณะนี้มีอุปกรณ์ F5 BIG-IP จำนวน 16,142 เครื่องที่เข้าถึงได้โดยตรงจากอินเทอร์เน็ต อุปกรณ์เหล่านี้ส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือจีน อินเดีย ออสเตรเลีย และญี่ปุ่นนักวิจัยด้านความปลอดภัยคาดว่าผู้โจมตีจะเริ่มสแกนหาอุปกรณ์ที่มีช่องโหว่ในเร็วๆ นี้ ดังนั้นผู้ดูแลระบบจะต้องรีบอัปเดตอุปกรณ์เหล่านี้โดยเร็วที่สุด หรืออย่างน้อยก็ใช้การบรรเทาผลกระทบ ดังนี้

ที่มา :  bleepingcomputer ,  techtalkthai

 

ค้นพบช่องโหว่ใหม่บน F5 Big-IP ส่งผลให้สามารถข้ามผ่านกระบวนการความปลอดภัยของ Key Distribution Center (KDC) บน Kerberos Protocol ได้

ช่องโหว่ CVE-2021-23008 (คะแนน 8.1/10) ส่งผลให้ผู้ไม่หวังดีสามารถข้ามผ่าน (Bypass) กระบวนการพิสูจน์ตัวตน (Authentication) บน Kerberos ไปยัง Big-IP Access Policy Manager (APM) และข้ามผ่านข้อกำหนดความปลอดภัย (Security Policies) ได้

ทั้งนี้ Key Distribution Center (KDC) ทำงานอยู่บนโปรโตคอล Kerberos ซึ่งเป็นโปรโตคอลที่ใช้สำหรับทำหน้าที่พิสูจน์ตัวตน (Authentication) โดยมี KDC ที่ทำงานเปรียบเสมือนเซิร์ฟเวอร์ตัวกลางที่ใช้ในการเก็บ Shared Secret Key และสิทธิ์ของผู้ใช้งานทุกคน จากนั้นจะทำหน้าที่แจกจ่าย Ticket ให้กับผู้ใช้งานที่ถูกต้องไปใช้เข้าถึง service ที่ต้องการ การโจมตีนี้เกิดขึ้นได้จากการที่ผู้ไม่หวังดีส่ง Response (AS-REP: Kerberos Authentication Service Response) ที่ถูกปลอม (Spoofed) ในกระบวนการเชื่อมต่อของ Kerberos Key Distribution Center (KDC) ที่ถูกยึดครองแล้ว หรือจาก AD Server ที่ถูกยึดครองโดยผู้ไม่หวังดีแล้ว หากมีการใช้งานร่วมกับ AD ด้วย

Big-IP APM เวอร์ชันที่ได้รับผลกระทบจะประกอบไปด้วย 11.5.2 - 11.6.5 (ยังไม่มีแพทช์), 12.1.0 - 12.1.5 (อัพเดตเป็น 12.1.6), 13.1.0 - 13.1.3 (อัพเดตเป็น 13.1.4), 14.1.0 - 14.1.3 (อัพเดตเป็น 14.1.4), 15.0.0 - 15.1.2 (อัพเดตเป็น 15.1.3) และ 16.0.0 - 16.0.1 (ยังไม่มีแพทช์) ควรทำการอัพเดตตามเวอร์ชัน หากมีแพทช์แล้ว

ที่มา: thehackernews, support.

แจ้งเตือน! NCC Group พบกลุ่มเเฮกเกอร์พยายามใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP โจมตีอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตช์เป็นจำนวนมาก

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews