แจ้งเตือนช่องโหว่แบบ Logical ในผลิตภัณฑ์ Antivirus หลายรายการ นำไปใช้ยกระดับสิทธิ์และข้ามผ่านกระบวนการจัดการสิทธิ์ได้

Eran Shimony จาก CyberArk อออกมาเปิดเผยถึงการค้นพบช่องโหว่ในผลิตภัณฑ์ Antivirus กว่า 15 ช่องโหว่ กระทบผลิตภัณฑ์ของ Kaspersky, McAfee, Symantec, Fortinet, CheckPoint, Trend Micro, Avira และ Microsoft Defender ช่องโหว่ทั้งหมดเป็นลักษณะของช่องโหว่แบบ logical หรือหมายถึงช่องโหว่ในเรื่องของการจัดการที่ไม่เหมาะสม ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปัญหาดังกล่าวในการโจมตีได้

Eran อธิบายถึงที่มาของช่องโหว่เอาไว้ในบล็อกของ CyberArk ช่องโหว่บางส่วนเกิดจากการจัดการสิทธิ์ที่ไม่เหมาะสมเมื่อมีการเขียนข้อมูลลงในพาธ C:\ProgramData รวมไปถึงการไม่ตรวจสอบและแก้ไขสิทธิ์ของไดเรกทอรีหรือไฟล์ที่โปรแกรม Antivirus ที่มีสิทธิ์สูงจะเข้าไปยุ่งเกี่ยวด้วยอย่างเหมาะสม แฮกเกอร์ซึ่งทราบเงื่อนไขของการโจมตีสามารถสร้างเงื่อนไขเพื่อให้โปรแกรม Antivirus ซึ่งมีสิทธิ์สูงอยู่แล้วเข้าไปแก้ไขไฟล์อื่น ๆ ในระบบ หรือลบไฟล์อื่น ๆ ในระบบได้

นอกเหนือจากเรื่องสิทธิ์ที่เกี่ยวกับพาธ C:\ProgramData แล้ว Eran ยังมีการระบุถึงช่องโหว่ DLL injection ในซอฟต์แวร์ Installer ยอดนิยมที่มักถูกใช้โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์ อาทิ InstallShield, InnoSetup, NsisInstaller และ Wix installer ด้วย

ช่องโหว่ดังกล่าวได้รับการแจ้งและแพตช์โดยผู้พัฒนาโปรแกรมป้องกันมัลแวร์แล้ว ขอให้ผู้ใช้งานทำการติดตามแพตช์และทำการอัปเดตเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยใช้ช่องโหว่นี้โดยทันที

ที่มา : thehackernews

Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.

ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs

Hackers mount attacks on Webmin servers, Pulse Secure, and Fortinet VPNs

พบแฮกเกอร์โจมตีช่องโหว่ใน Webmin, Pulse Secure VPN และ Fortinet VPN
บริษัททั่วโลกมีความเสี่ยงหลังจากแฮกเกอร์เริ่มโจมตีจากสามผลิตภัณฑ์ที่เป็นที่นิยมมาก ซึ่งทั้งสามผลิตภัณฑ์ถูกเปิดเผยรายละเอียดช่องโหว่รวมถึงโค้ดตัวอย่างสำหรับโจมตีในเดือนนี้
การโจมตีเริ่มขึ้นเมื่อช่วงต้นสัปดาห์ (24 สิงหาคม 2019) โดยผู้โจมตีมุ่งเป้าไปที่ Webmin เครื่องมือบริหารจัดการระบบ UNIX และยังรวมถึงผู้ให้บริการ VPN เช่น Pulse Secure และ FortiGate ของ Fortinet คงไม่ผิดนักถ้าจะกล่าวว่าการโจมตี Webmin, Pulse Secure และ Fortinet FortiGate นี้เป็นเรื่องที่เลวร้ายที่สุดในรอบปี
การโจมตี Webmin เกิดเมื่อมีข่าวใหญ่พบ backdoor ใน Webmin ซอร์สโค้ด หลังจากที่ผู้หวังไม่ดีทำการบุกรุกเซิฟเวอร์ของผู้พัฒนา Webmin และ backdoor อยู่มานานมากกว่าหนึ่งปีก่อนจะถูกพบ
การแสกนหาช่องโหว่นี้เริ่มหลังจากนักวิจัยความปลอดภัยได้นำเสนอที่ DEF CON งานประชุมด้านความปลอดภัย ซึ่งกล่าวถึงรายละเอียดของช่องโหว่ (ภายหลังพิสูจน์ว่าเป็น backdoor) ในเชิงลึก
ซึ่งมีผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ของ Webmin หนึ่งในนั้นคือเจ้าของ IoT botnet ชื่อ Cloudbot
แนะนำให้ผู้ดูแล Webmin ทำการอัปเดทสู่ v1.930 ที่ปล่อยออกมาเมื่อวันอาทิตย์เพื่อป้องกันระบบต่อ CVE-2019-15107 (ช่องโหว่ RCE/backdoor) เพราะจากโค้ดตัวอย่างสำหรับโจมตีที่นักวิจัยปล่อยออกมานี้ ทำให้การโจมตีง่ายและนำไปใช้โจมตีแบบอัตโนมัติได้แม้ผู้โจมตีไม่เก่ง
การโจมตี Pulse Secure และ Fortinet FortiGate VPN เริ่มจากการเปิดเผยช่องโหว่ในงานสัมมนา Black Hat ในหัวข้อที่มีชื่อว่า “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs," ที่มีรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยในผู้ให้บริการ VPN หลายตัว
อย่างไรก็ตาม เป้าหมายการโจมตีไม่ใช่โปรดักส์ VPN ทุกตัวที่พูดคุยในงานนี้ แต่โจมตีเฉพาะ Pulse Secure VPN และ FortiGate VPN ของ Fortinet
มีความเป็นได้ไปสูงที่ผู้โจมตีจะใช้รายละเอียดเทคนิคและแนวคิดพื้นฐานจากเนื้อหาภายในบล็อกของ Devcore บริษัทที่ผู้พูดหัวข้อดังกล่าวทำงานอยู่
โดยในบล็อกมีรายละเอียดและตัวอย่างโค้ดสำหรับช่องโหว่หลายๆ ช่องโหว่ในสอง VPN ดังกล่าว อย่างไรก็ตาม ผู้โจมตีเลือกเพียงสองจากช่องโหว่เหล่านั้นที่ชื่อ CVE-2019-11510 (ส่งผลต่อ Pulse Secure) และ CVE-2018-13379 (ส่งผลต่อ FortiGate)
ทั้งสองตัวคือ "pre-authentication file reads" หมายถึงประเภทของช่องโหว่ที่อนุญาตให้แฮกเกอร์ดึงไฟล์จากระบบเป้าหมายโดยไม่ต้องพิสูจน์ตัวตน
จาก Bad Packets และนักวิจัยคนอื่นๆ บน Twitter แฮกเกอร์ได้แสกนบนอินเตอร์เน็ตเพื่อหาอุปกรณ์ที่มีช่องโหว่ และจากนั้นพวกเขาจะทำการดึงไฟล์รหัสผ่านของระบบจาก Pulse Secure VPNs และไฟล์ VPN session จาก FortiGate VPN ทำให้ผู้โจมตีล็อกอินเข้าสู่อุปกรณ์หรือทำการใช้ VPN session ปลอมได้
Bad Packets กล่าวว่า มีเกือบ 42,000 Pulse Secure VPN ที่ออนไลน์อยู่ และกว่า 14,500 ที่ยังไม่ได้อัปเดทแพตช์ ถึงแม้ว่าแพตช์จะถูกปล่อยออกมาเป็นเดือนแล้ว
จำนวน FortiGate VPNs นั้นเชื่อกันว่ามีอยู่หลายแสนผู้ใช้ แม้ว่าจะไม่มีสถิติที่แน่นอนเกี่ยวกับระบบที่ยังไม่รับการป้องกันซึ่งมีความเสี่ยงที่จะถูกโจมตี ซึ่งเจ้าของอุปกรณ์ได้ถูกแนะนำให้อัปเดทให้เร็วสุด
ผู้วิจัยความปลอดภัยจาก Bad Packets ได้ยกตัวอย่างการใช้ Pulse Secure VPNs บนเครือข่ายของ :
กองทัพสหรัฐอเมริกา, รัฐบาลกลาง, รัฐ และหน่วยงานรัฐบาลท้องถิ่น
มหาวิทยาลัยและโรงเรียนสาธารณะ
โรงพยาบาลและศูนย์บริการสุขภาพ
สถาบันการเงินหลัก
บริษัทในการจัดอันดับ Fortune 500

ที่มา: Zdnet

Fortinet firewalls feature hard-coded password that acts as a backdoor

หลังจากพบโค้ดลับใน ScreenOS ของ Juniper NetScreen เมื่อไม่กี่อาทิตย์ที่ผ่านมา ปรากฏว่าพบช่องโหว่คล้ายๆกันในอุปกรณ์ firewall ของ Fortinet โดยอยู่ใน FortiOS รุ่น 4.x จนถึงรุ่น 5.0.7

นาย Ralf-Philipp Weinmann ผู้ที่เคยเปิดเผยรหัสผ่านของ ScreenOS ก็มาเปิดเผยรหัสผ่านของ FortiOS ด้วย ซึ่งรหัสผ่านที่ฝังไว้ใน FortiOS คือ "FGTAbc11*xy+Qqz27" รวมทั้งมีการแจกโค้ดที่ผ่านการทดสอบแล้วไว้ที่ seclists.