Exploit สำหรับโจมตีช่องโหว่การตรวจสอบสิทธิ์ของ GoAnywhere MFT ถูกปล่อยออกมาแล้ว
ล่าสุด Exploit code สำหรับโจมตีช่องโหว่ authentication bypass ระดับ Critical ในซอฟต์แวร์ GoAnywhere MFT (Managed File Transfer) ของ Fortra ซึ่งจะทำให้ผู้โจมตีสามารถสร้างชื่อผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ที่มีช่องโหว่ผ่านทางพอร์ทัลของผู้ดูแลระบบได้ (more…)
Veeam ประกาศแจ้งเตือนช่องโหว่ใหม่ที่ทำให้ผู้โจมตีสามารถขโมยข้อมูลสำคัญในรูปแบบ cleartext ได้ (CVE-2023-27532) รวมไปถึงปัจจุบันกลุ่ม Horizon3 ได้ปล่อยชุดสาธิตการโจมตี (POC) exploit code ออกมาแล้ว
CVE-2023-27532 (คะแนน CVSS 7.5/10 ระดับความรุนแรงสูง) เป็นช่องโหว่ในคอมโพเนนต์ Veeam Backup & Replication (VBR) ทำให้สามารถหลีกเลี่ยงการยืนยันสิทธิเพื่อเข้าไปใน backup infrastructure และขโมยข้อมูลสำคัญในรูปแบบ cleartext และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE) ด้วยสิทธิ์ SYSTEM ซึ่งส่งผลกระทบกับ VBR ทุกเวอร์ชัน
โดย Veeam ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่สำหรับ VBR เวอร์ชัน11 และ เวอร์ชัน 12 โดยแนะนำให้ผู้ใช้งานรีบทำการอัปเดตโดยด่วน รวมไปถึงยังให้คำแนะนำในกรณีที่ยังไม่สามารถทำการอัปเดตได้ทันที แนะนำให้ปิดการเชื่อมต่อจากภายนอกไปยังพอร์ต TCP 9401
Veeam เป็นบริษัทด้านซอฟต์แวร์สำรองข้อมูลระดับองค์กร โดย Veeam Backup & Replication (VBR) มีลูกค้ามากกว่า 450,000 รายทั่วโลก ซึ่งรวมถึง 82% ของบริษัทที่ติดอันดับ Fortune 500 และ 72% ของ Global 2,000
Horizon3 ปล่อย PoC ออกสู่สาธารณะ
ปัจจุบันทาง Horizon3 ได้ปล่อยตัวอย่างวิธีสาธิตการโจมตี proof-of-concept (PoC) ช่องโหว่ดังกล่าวออกมาแล้ว ซึ่งเป็นในรูปแบบ cross-platform ที่ทำให้สามารถเข้าถึงข้อมูลสำคัญในรูปแบบ cleartext บนฐานข้อมูล โดยใช้ API endpoint ในการโจมตีช่องโหว่ ซึ่งทาง Horizon3 ได้ทำเผยแพร่ PoC นี้บน Github ซึ่งสร้างขึ้นด้วย .NET core และสามารถทำงานบน Linux ได้
โดยช่องโหว่ดังกล่าวมีความอันตรายมาก เนื่องจากหาก Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเข้ามาภายในระบบได้แล้ว ก็สามารถที่จะแพร่กระจายไปยังส่วนอื่น ๆ ในระบบของเหยื่อ รวมถึงเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้
นอกจากนี้ทาง Huntress บริษัทวิจัยด้านความปลอดภัย ได้ทำการตรวจสอบเครื่องที่ใช้ VBR จำนวนกว่า 2 ล้าน เครื่องที่เชื่อมต่อกับอินเตอร์เน็ต พบว่ามีเครื่องที่ใช้ VBR มากกว่า 7,500 รายการที่มีความเสี่ยงต่อการถูกโจมตีจากช่องโหว่ CVE-2023-27532
แม้ปัจจุบันยังไม่พบการรายงานโจมตีจากช่องโหว่ดังกล่าว แต่เมื่อมีการเผยแพร่ PoC ออกมาแล้วก็มีความเป็นไปได้ที่ช่องโหว่ดังกล่าวจะถูกใช้ในการโจมตีต่อไป
ที่มา : www.