Urgent11 security flaws impact routers, printers, SCADA, and many IoT devices

พบช่องโหว่ 11 รายการ ส่งผลให้อุปกรณ์ IoT หลายล้านรายการมีความเสี่ยง

นักวิจัยจาก Armis ออกรายงานแจ้งเตือนว่าพบช่องโหว่ในระบบปฏิบัติการที่ชื่อว่า “VxWorks” ซึ่งถูกใช้ในอุปกรณ์ IoT มากกว่าหลายล้านรายการทั่วโลก อาทิเช่น อุปกรณ์ทางการแพทย์, router, VOIP และอุปกรณ์โครงสร้างพื้นฐาน โดยได้ตั้งชื่อรายการช่องโหว่เหล่านี้ว่า “Urgent/11”

ช่องโหว่ทั้ง 11 รายการ เป็นปัญหาในส่วนของ TCP/IP โปรโตคอลของ VxWorks (IPnet) แบ่งออกเป็นช่องโหว่ที่ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตราย (RCE) บนอุปกรณ์ได้ 6 รายการ และอีก 5 รายการถูกระบุว่าเป็นช่องโหว่ที่ส่งผลให้อุปกรณ์ไม่สามารถทำงานต่อไปได้ (DoS) หรือข้อมูลรั่วไหลบนอุปกรณ์ (data leakage)

นักวิจัยได้ทำการแจ้งไปยัง Wind River บริษัทที่เป็นผู้ครอบครองระบบปฏิบัติการ VxWorks และบริษัทได้ออกแพทช์เพื่อแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว ทั้งนี้ระบบปฏิบัติการที่ได้รับผลกระทบประกอบด้วย:
- VxWorks 7 (SR540 และ SR610)
- VxWorks 6.5-6.9
- VxWorks ที่มีการใช้งาน Interpeak network stack

รายงานระบุว่ายังไม่พบว่ามีการใช้ช่องโหว่ดังกล่าวโจมตีเกิดขึ้น และมี snort rule สำหรับตรวจจับการโจมตี ผู้สนใจสามารถศึกษาได้จากรายงานฉบับเต็ม

รายงานฉบับเต็มจาก Armis: https://go.

Vulnerability Affects Hundreds of Thousands of IoT Devices

พบช่องโหว่ส่งผลกระทบต่อ Embedded web server ใน อุปกรณ์ IoT หลายแสนรายการ

Embedthis Software LLC บริษัทผู้ผลิต Software สำหรับอุปกรณ์ Embedded จากประเทศสหรัฐอเมริกา รวมทั้งเป็นผู้ให้บริการ GoAhead ซึ่งเป็นเว็บเซิร์ฟเวอร์ขนาดเล็กที่ทำงานบนอุปกรณ์ที่มีทรัพยากรจำกัด เช่น อุปกรณ์ Internet of Things (IoT), Routers, printers และอุปกรณ์เครือข่ายอื่น ๆ โดยปัจจุบันเป็นที่นิยมอย่างมากในผู้จัดจำหน่ายฮาร์ดแวร์

ล่าสุดนักวิจัยด้านความปลอดภัยจาก บริษัท Elttam ของออสเตรเลียพบวิธีการรันโค้ดที่เป็นอันตรายได้จากระยะไกลบนอุปกรณ์ที่ใช้แพ็คเกจเว็บเซิร์ฟเวอร์จาก GoAhead ซึ่งจากหน้าเว็ปไซต์ของ Embedthis พบว่ามีการนำไปใช้ในผลิตภัณฑ์ของบริษัทที่มีชื่อเสียงขนาดใหญ่หลายรายการ เช่น Comcast, Oracle, D-Link, ZTE, HP, Siemens, Canon และอื่น ๆ ช่องโหว่นี้ได้รับรหัส CVE-2017-17562 ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้หากมีการเปิดใช้งาน CGI และ CGI เป็นแบบ dynamically linked ซึ่งเป็นการตั้งค่าทั่วไป

Elttam ได้รายงานช่องโหว่ไปยัง Embedthis และได้มีการปล่อยแพทช์ออกมาเรียบร้อยแล้ว โดยคาดว่าเว็บเซิร์ฟเวอร์ของ GoAhead ทุกเวอร์ชันก่อนหน้า 3.6.5 จะได้รับผลกระทบทั้งหมด แม้ว่าปัจจุบัน Embedthis ได้ทำการออกแพทซ์ส่วนของตนเองแล้ว แต่ในส่วนการอัพเดท Firmware บนอุปกรณ์ของผู้ผลิตแต่ละรายที่นำไปใช้นั้น อาจต้องใช้สักระยะเวลาหนึ่งในการออกอัพเดท รวมถึงอุปกรณ์เก่าอื่นๆ ที่ end-of-life ไปแล้วอาจจะไม่ได้รับการอัพเดทเพื่ออุดช่องโหว่ดังกล่าว ทั้งนี้จากการค้นหาด้วย Shodan พบว่ามีอุปกรณ์ออนไลน์อยู่ 500,000 ถึง 700,000 ชิ้นที่ได้รับผลกระทบ

ที่มา : bleepingcomputer

‘IOTROOP’ BOTNET COULD DWARF MIRAI IN SIZE AND DEVASTATION, SAYS RESEARCHER

นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

New IoT Device Vulnerability “ConnManDo”

ConnMan คือ Network Manager ที่ถูกพัฒนาขึ้นมาไว้ใช้กับอุปกรณ์ต่างๆ ที่มีการลง Operating System เอาไว้ในตัว ซึ่งถูกใช้อย่างแพร่หลายในอุปกณ์ IoT ConnMan ถูกพบว่ามีช่องโหว่ร้ายแรงในฟังก์ชัน DNS-Proxy เวอร์ชันที่ได้รับผลกระทบคือ ConnMan 1.34 และรุ่นก่อนหน้า ช่องโหว่ดังกล่าวมีความเสี่ยงต่อการเกิด Buffer Overflow ซึ่งอาจทำให้เกิด DoS และ Remote Code Execution ช่องโหว่นี้สามารถถูกทำให้เกิดซ้ำๆได้ ตราบเท่าที่ผู้โจมตีสามารถนำไปพัฒนาต่อเพื่อใช้ในการโจมตีเป้าหมายที่ต้องการ
ข้อแนะนำ ให้อัพเดท ConnMan เป็นเวอร์ชัน 1.35 ขึ้นไป และไม่ควรเชื่อมต่อปุกรณ์ IoT กับ Network ที่ไม่มีความน่าเชื่อถือ เช่น Free Access Point

ที่มา : NRI-SECURE

BrickerBot Dev Claims Cyber-Attack That Affected Over 60,000 Indian Modems

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER