Check Point แก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตี

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer

Hacker มุ่งเป้าการโจมตีไปยัง Check Point VPN เพื่อเข้าถึงเครือข่าย

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

พบ Python backdoor ตัวใหม่ ที่มุ่งเป้าไปยัง developer โดยการส่ง job interview ปลอม

พบแคมเปญการโจมตีใหม่ในชื่อ “Dev Popper” ซึ่งกำหนดเป้าหมายไปยัง software developers ด้วยการส่งนัดสัมภาษณ์งานปลอม โดยการส่ง job interview เพื่อให้เป้าหมายติดตั้ง Python Remote Access Trojan (RAT)

ซึ่ง developer จะถูกขอให้ทำสิ่งต่าง ๆ ระหว่างการสัมภาษณ์ เช่น การดาวน์โหลด และเรียกใช้โค้ดจาก GitHub เพื่อทำให้กระบวนการทั้งหมดดูปกติ แต่เป้าหมายของ Hacker คือการให้เป้าหมายทำการดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายซึ่งจะทำการรวบรวมข้อมูลของระบบ และเปิดใช้งานการเข้าถึงเครื่องจากระยะไกล

จากการวิเคราะห์ของของ Securonix ระบุว่า จากวิธีการโจมตีแคมเปญการโจมตีดังกล่าวน่าจะมีที่มาจาก Hacker ชาวเกาหลีเหนือ แม้ว่าข้อมูลอาจจะยังไม่เพียงพอที่จะสามารถระบุแหล่งที่มาได้

การโจมตีแบบ Multi-stage infection chain

การโจมตี “Dev Popper” เป็นรูปแบบ multi-stage infection chain โดยอาศัยวิธีการ social engineering ซึ่งออกแบบมาเพื่อหลอกลวงเป้าหมายผ่านกระบวนการอย่างต่อเนื่อง

Hacker เริ่มต้นการติดต่อโดยสวมรอยเป็นนายจ้างที่เสนอตำแหน่ง developer ซึ่งในระหว่างการสัมภาษณ์ ผู้สมัครจะถูกขอให้ดาวน์โหลด และเรียกใช้งาน present ที่เป็น standard coding task จาก GitHub repository

ตัวอย่างไฟล์ ZIP ที่มี NPM package ซึ่งมี README.md รวมถึง frontend และ backend directory

เมื่อ developer รัน NPM package ไฟล์ JavaScript ที่อันตราย (“imageDetails.

Fujitsu ยืนยันการพบมัลแวร์ในหลายระบบ คาดว่าถูกโจรกรรมข้อมูลจริง

Fujitsu ยืนยันการพบมัลแวร์ในหลายระบบ คาดว่าถูกโจรกรรมข้อมูลจริง

Fujitsu บริษัทเทคโนโลยียักษ์ใหญ่สัญชาติญี่ปุ่น พบว่าระบบภายในหลายระบบติดมัลแวร์ และออกมาแจ้งเตือนว่าข้อมูลของลูกค้าอาจถูกกลุ่มแฮ็กเกอร์ขโมยออกไป (more…)

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker Blackwood ควบคุม WPS Office ที่ทำการอัปเดตเพื่อติดตั้งมัลแวร์

พบกลุ่ม Hacker ในชื่อ Blackwood กำลังใช้มัลแวร์ที่มีความสามารถสูงในชื่อ “NSPX30” เพื่อทำการโจมตีทางไซเบอร์ต่อบริษัท และบุคคล

(more…)

พบช่องโหว่ใน Cloudflare DDoS protection ที่สามารถถูก Bypass ได้โดยใช้ Cloudflare Account

นักวิจัยของ Certitude พบช่องโหว่บน Cloudflare Firewall และ DDoS prevention ที่ทำให้ bypass การตรวจสอบได้โดยการใช้ช่องโหว่ cross-tenant security controls ซึ่งข้อจำกัดเพียงอย่างเดียวสำหรับการโจมตีคือแฮ็กเกอร์ต้องมีการสร้างบัญชี Cloudflare ฟรี เพื่อใช้เป็นส่วนหนึ่งของการโจมตี รวมถึงผู้โจมตีต้องรู้ที่อยู่ IP ของเว็บเซิร์ฟเวอร์เป้าหมายเพื่อใช้ช่องโหว่นี้ในการโจมตี

การโจมตี Cloudflare โดยใช้ Cloudflare account

Stefan Proksch นักวิจัยของ Certitude ระบุว่าสาเหตของปัญหาคือการที่ Cloudflare ใช้โครงสร้างพื้นฐานร่วมกันในการรับการเชื่อมต่อจาก tenants ทั้งหมด โดยช่องโหว่ที่ส่งผลกระทบต่อระบบคือ "Authenticated Origin Pulls" และ "Allowlist Cloudflare IP Addresses" ของ Cloudflare

Authenticated Origin Pulls เป็นคุณสมบัติด้านความปลอดภัยที่ Cloudflare ใช้เพื่อให้แน่ใจว่า HTTP(s) request ที่ส่งไปยังเซิร์ฟเวอร์ต้นทางนั้น ถูกส่งผ่าน Cloudflare และไม่ได้มาจาก Hacker

โดยเมื่อทำการกำหนดค่าฟีเจอร์ดังกล่าว ลูกค้าสามารถอัปโหลด certificates ของตนโดยใช้ API หรือสร้างใบรับรองผ่าน Cloudflare ซึ่งเป็นวิธีการเริ่มต้น และง่ายที่สุด เมื่อทำการกำหนดค่าแล้ว Cloudflare จะใช้ SSL/TLS certificate เพื่อตรวจสอบ HTTP(S) requests ใด ๆ ระหว่าง reverse proxy ของบริการ และเซิร์ฟเวอร์ต้นทางของลูกค้า เพื่อป้องกัน HTTP(S) requests ที่ไม่ได้รับอนุญาตเข้าถึงเว็บไซต์ได้

(more…)

มหาวิทยาลัยแมนเชสเตอร์ ยืนยันข้อมูลรั่วไหลหลังถูกโจมตีทางไซเบอร์ครั้งล่าสุด

มหาวิทยาลัยแมนเชสเตอร์ ออกมายืนยันเรื่องข้อมูลของศิษย์เก่า และนักศึกษาปัจจุบันจำนวน 7 TB รั่วไหลออกไป หลังจากเกิดเหตุการณ์โจมตีทางไซเบอร์ โดยมหาวิทยาลัยแจ้งว่าเหตุการณ์ดังกล่าวไม่เกี่ยวข้องกับการโจมตีของ MOVEit Transfer

เมื่อวันอังคารที่ 20 มิถุนายน 2566 ที่ผ่านมา Bleeping Computer รายงานว่าแฮ็กเกอร์ที่อยู่เบื้องหลังการโจมตีได้ส่งอีเมลถึงนักศึกษา โดยอ้างว่าได้ขโมยข้อมูลของนักศึกษาและบุคลากรที่เป็นความลับออกมากว่า 7 TB โดยผู้โจมตีได้ระบุในอีเมลว่า พวกเขาได้แฮ็กเครือข่าย manchester.

ช่องโหว่ใหม่ใน TPM 2.0 ทำให้ Hacker สามารถขโมย cryptographic key ได้

พบช่องโหว่ใหม่ใน TPM 2.0 ซึ่งเป็นช่องโหว่ buffer overflow 2 รายการ ซึ่งส่งผลทำให้ Hacker สามารถเข้าถึง หรือเขียนทับข้อมูล และขโมยข้อมูลที่มีความสำคัญ เช่น cryptographic keys ได้

Trusted Platform Module (TPM) เป็นฮาร์ดแวร์เทคโนโลยีที่ทำให้ระบบปฏิบัติการมีฟังก์ชันในการเข้ารหัสที่ปลอดภัย สำหรับการปกป้องข้อมูลที่มีความสำคัญ มันสามารถใช้เพื่อจัดเก็บ cryptographic keys, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ โดย TPM จะใช้สำหรับคุณสมบัติด้านความปลอดภัยบางอย่างของ Windows เช่น Measured Boot, การเข้ารหัสอุปกรณ์, Windows Defender System Guard (DRTM), การรับรองความสมบูรณ์ของอุปกรณ์ (more…)

ผู้ไม่หวังดีหันมาใช้โอเพ่นซอร์สอย่าง Silver แทน C2 Frameworks ยอดนิยมอย่าง Cobalt Strike และ Metasploit

Silver เป็น command-and-control framework ที่ถูกสร้างขึ้นเพื่อใช้ทำ penetration testers (ทดสอบเจาะระบบ) ที่กำลังได้รับความสนใจจากกลุ่มผู่ไม่หวังดีมากขึ้น เพื่อใช้เป็นเครื่องมือทางเลือกแทน Cobalt Strike และ Metasploit ซึ่งเหตุการณ์นี้ถูกพบโดย Cybereason เมื่อสัปดาห์ที่ผ่านมา

(more…)

มัลแวร์ตัวใหม่บน Android ‘Hook’ ทำให้แฮ็กเกอร์ remote ควบคุมโทรศัพท์ได้จากระยะไกล

พบมัลแวร์ตัวใหม่บน Android ที่มีชื่อว่า 'Hook' สามารถ remote เพื่อควบคุมอุปกรณ์มือถือจากระยะไกลได้แบบเรียลไทม์โดยการใช้ VNC (virtual network computing)

โดยตัวมัลแวร์ถูกสร้างโดยผู้สร้าง Ermac ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลธนาคารบน Android ที่จะช่วยให้ผู้โจมตีสามารถขโมยข้อมูล credentials จากแอปธนาคาร และ crypto แอปพลิเคชันกว่า 467 รายการผ่านหน้า login ปลอม

คุณสมบัติของ Hook เมื่อเทียบกับ Ermac คือการเปิด WebSocket ที่นอกเหนือจากการรับส่งข้อมูล HTTP ที่ Ermac ใช้ โดยเฉพาะการรับส่งข้อมูลเครือข่ายยังคงถูก encrypt โดยการใช้คีย์ AES-256-CBC

จุดเด่นเพิ่มเติมคือ module 'VNC' ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้แบบ real-time

Hook ติดอันดับต้นๆ ของกลุ่มมัลแวร์ที่สามารถดำเนินการโจมตีแบบ Device Take-Over (DTO) ได้เต็มรูปแบบ เนื่องจากระบบใหม่นี้ช่วยให้ผู้โจมตีที่ใช้งาน Hook สามารถดำเนินการใดๆก็ได้บนอุปกรณ์ ตั้งแต่ขโมยข้อมูลส่วนตัว ไปจนถึงข้อมูลการทำธุรกรรมทางการเงิน ซึ่งการดำเนินการลักษณะนี้ตรวจจับได้ยากกว่า ทำให้ถือเป็นจุดขายหลักสำหรับมัลแวร์ประเภทนี้

แต่มีประเด็นสำคัญอีกอย่างหนึ่งคือ VNC ของ Hook ต้องการการเข้าถึงบริการ Accessibility Service ซึ่งอาจทำได้ยากขึ้นบนอุปกรณ์ที่ใช้ Android 11 หรือใหม่กว่า

คำสั่งใหม่ของ Hook (นอกเหนือจาก Ermac)

Start/stop RAT
ถ่ายภาพหน้าจอ
จำลองการคลิกที่รายการข้อความที่กำหนด
Simulate การกดปุ่ม (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
Unlock อุปกรณ์
Scroll up/down
Simulate การกดแบบค้าง
Simulate การคลิกที่กำหนดเฉพาะ
ตั้งค่า clipboard UI ด้วยค่าเฉพาะเจาะจง
Simulate การคลิก UI ด้วยข้อความเฉพาะ
ตั้งค่าองค์ประกอบ UI เป็นข้อความเฉพาะ

นอกเหนือจากข้างต้น คำสั่ง "File Manager" จะเปลี่ยนมัลแวร์ให้เป็นตัวจัดการไฟล์ ทำให้ผู้โจมตีสามารถเข้าถึงรายการไฟล์ทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ และดาวน์โหลดไฟล์ที่ต้องการได้

คำสั่งสำคัญอีกคำสั่งที่ ThreatFabric พบเกี่ยวข้องกับ WhatsApp ที่ทำให้ Hook สามารถบันทึกข้อความทั้งหมดในแอพ IM (Instant Messaging) ที่ได้รับความนิยมและยังช่วยให้ผู้โจมตีสามารถส่งข้อความผ่านบัญชีของเหยื่อได้ ในส่วนระบบการติดตามตำแหน่งใหม่ก็ช่วยให้ Hook สามารถติดตามตำแหน่งที่แม่นยำของเหยื่อได้โดยใช้สิทธิ์ "Access Fine Location"

การกำหนดเป้าหมายทั่วโลก

เป้าหมายของ Hook คือแอปพลิเคชันธนาคารต่างๆ ซึ่งคาดว่าจะส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา สเปน ออสเตรเลีย โปแลนด์ แคนาดา ตุรกี สหราชอาณาจักร ฝรั่งเศส อิตาลี และโปรตุเกส

ปัจจุบัน Hook มีการแพร่กระจายผ่านทาง Google Chrome APK ภายใต้ชื่อแพ็คเกจดังนี้

"com.