Zyxel ออกแพตซ์แก้ไขช่องโหว่ RCE สำหรับอุปกรณ์ NAS ที่ End-of-life

Zyxel Network ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical 3 รายการที่ส่งผลกระทบต่ออุปกรณ์ NAS รุ่นเก่าที่หมดอายุการใช้งานแล้ว (End-of-life)

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ NAS326 ที่ใช้ firmware versions 5.21(AAZF.16)C0 และเก่ากว่า รวมถึง NAS542 ที่ใช้ firmware versions 5.21(ABAG.13)C0 และเก่ากว่า

โดยช่องโหว่ระดับ Critical 3 รายการ ซึ่งทำให้ Hacker สามารถแทรกคำสั่ง และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ อย่างไรก็ตามช่องโหว่อีก 2 รายการ ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ และการเปิดเผยข้อมูลไม่ได้รับการแก้ไขในผลิตภัณฑ์หมดอายุการใช้งานแล้ว (End-of-life) ในครั้งนี้

โดย Timothy Hjort นักวิจัยด้านความปลอดภัยของ Outpost24 เป็นผู้ค้นพบ และรายงานช่องโหว่ทั้ง 5 รายการแก่ Zyxel และต่อมาก็ได้เปิดเผยชุดสาธิตการโจมตี (PoC) ออกสู่สาธารณะ

โดยช่องโหว่ 5 รายการที่ถูกแจ้งไปยัง Zyxel ซึ่งมี 3 รายการที่ได้รับการแก้ไขดังนี้ :

CVE-2024-29972 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่ Command injection ในโปรแกรม CGI ('remote_help-cgi') ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถส่ง HTTP POST request ที่สร้างขึ้นเป็นพิเศษเพื่อรันคำสั่งบน OS โดยใช้บัญชี NsaRescueAngel backdoor ที่มีสิทธิ์รูทได้
CVE-2024-29973 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่ Command injection ใน 'setCookie' parameter ทำให้ Hacker สามารถส่ง HTTP POST request ที่สร้างขึ้นเป็นพิเศษเพื่อรันคำสั่งบน OS ได้
CVE-2024-29974 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ในโปรแกรม CGI ('file_upload-cgi') ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์ configuration ที่เป็นอันตรายบนอุปกรณ์ได้
CVE-2024-29975 (คะแนน CVSS 6.7/10 ความรุนแรงระดับ Medium) ช่องโหว่การจัดการสิทธิ์ที่ไม่เหมาะสมใน SUID executable binary ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถรันคำสั่งบนระบบในฐานะ "root" (ไม่ได้รับการแก้ไขช่องโหว่ในครั้งนี้)
CVE-2024-29976 (คะแนน CVSS 6.5/10 ความรุนแรงระดับ Medium) ช่องโหว่การจัดการสิทธิ์ที่ไม่เหมาะสมในคำสั่ง 'show_allsessions' ทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถรับข้อมูลเซสชัน รวมถึงคุกกี้ของผู้ดูแลระบบที่ใช้งานอยู่ (ไม่ได้รับการแก้ไขช่องโหว่ในครั้งนี้)

แม้ว่า NAS ทั้งสองรุ่นจะสิ้นสุดระยะเวลาการสนับสนุนไปแล้วตั้งแต่วันที่ 31 ธันวาคม 2566 แต่ Zyxel ก็ได้ออกแพตซ์แก้ไขช่องโหว่สำหรับช่องโหว่ระดับ Critical 3 รายการในเวอร์ชัน 5.21(AAZF.17)C0 สำหรับ NAS326 และ 5.21(ABAG.14)C0 สำหรับ NAS542 และเนื่องจากช่องโหว่ดังกล่าวได้มีการปล่อย PoC ออกมาแล้ว แม้จะยังไม่มีข้อมูลการโจมตีจากช่องโหว่ดังกล่าว แต่ผู้ดูแลระบบก็ควรทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยเร็วที่สุด

ที่มา : bleepingcomputer.

NCSC-FI แจ้งเตือนพบกลุ่ม Akira ransomware มุ่งเป้าลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

Finish National Cybersecurity Center (NCSC-FI) หรือหน่วยงานความปลอดภัยทางไซเบอร์ของฟินแลนด์ แจ้งเตือนการพบการโจมตีที่เพิ่มขึ้นของกลุ่ม Akira ransomware ที่เพิ่มขึ้นในเดือนธันวาคม 2023 โดยกำหนดเป้าหมายการโจมตีไปยังบริษัทในประเทศเพื่อลบข้อมูลบนอุปกรณ์ NAS และ Tape Backup

ทั้งนี้ NCSC-FI ระบุว่ากลุ่ม Akira ransomware อยู่เบื้องหลังการโจมตีของ ransomware มากถึง 6 ใน 7 เหตุการณ์ที่พบในเดือนธันวาคม 2023 โดยการลบข้อมูลเป็นการเพิ่มความรุนแรงของความเสียหายของการโจมตี และทำให้ Hacker สามารถสร้างความกดดันให้แก่เป้าหมาย เนื่องจากไม่สามารถทำการกู้คืนข้อมูลที่ถูกโจมตีได้ (more…)

Western Digital ยืนยันการถูกโจมตีจนทำให้บริการ My Cloud ล่ม [EndUser]

Western Digital บริษัทผู้ผลิตไดรฟ์คอมพิวเตอร์ในแคลิฟอร์เนีย และผู้ให้บริการจัดเก็บข้อมูล ออกมาเปิดเผยการถูกโจมตีทางไซเบอร์ที่ทำให้ Hacker สามารถเข้าถึงระบบของบริษัทหลายแห่ง โดยการโจมตีดังกล่าวเริ่มต้นขึ้นในวันที่ 26 มีนาคม

ซึ่งขณะนี้ทาง Western Digital กำลังเร่งสืบสวนหาสาเหตุ และจุดเริ่มต้นการโจมตี รวมไปถึงแจ้งไปยังหน่วยงานรัฐที่เกี่ยวข้อง

บริการ My Cloud ล่ม

นอกจากนี้เหตุการณ์การโจมตีดังกล่าวยังทำให้ Western Digital ได้ใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อปกป้องระบบ และการดำเนินงาน ทำให้ส่งผลกระทบต่อบริการ My Cloud

โดยผู้ใช้งานบริการจัดเก็บข้อมูลบนเครือข่าย (NAS) ของ Western Digital My Cloud พบว่าไม่สามารถเข้าถึงที่เก็บข้อมูลบนคลาวด์ได้ โดยจะมีข้อความ Error Code "503 Service Temporarily Unavailable" ซึ่งกระทบต่อระบบคลาวด์, พร็อกซี เว็บ การตรวจสอบสิทธิ์ อีเมล และการแจ้งเตือน โดยหยุดทำงานไปนานกว่า 24 ชั่วโมง

ซึ่งหน้าสถานะบริการ My Cloud ได้ระบุว่าปัญหาดังกล่าวได้ส่งผลกระทบต่อผลิตภัณฑ์ดังนี้ My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi และ SanDisk Ixpand Wireless Charger

ที่มา : bleepingcomputer

พบอุปกรณ์ QNAP ที่มีช่องโหว่ระดับ Critical กว่า 29,000 เครื่อง ยังไม่ได้อัปเดตเพื่อปิดช่องโหว่

หลังจากที่ QNAP บริษัทด้านอุปกรณ์สำรองข้อมูลได้เผยแพร่อัปเดตเพื่อแก้ไขช่องโหว่ระดับ Critical บนอุปกรณ์เก็บสำรองข้อมูลที่เชื่อมต่อกับเครือข่าย Network-Attached Storage (NAS) ซึ่งอาจนำไปสู่การโจมตี และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

QNAP แก้ไขช่องโหว่ระดับ Critical ในอุปกรณ์ NAS ด้วยการอัปเดตแพตซ์รอบล่าสุด

บริษัท QNAP ของไต้หวันได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ที่มีผลกระทบต่อ network-attached storage (NAS) ซึ่งอาจนำไปสู่การโจมตีแบบ code injection (more…)

QNAP ประกาศเตือน Ransomware ตัวใหม่ Checkmate กำลังถูกใช้โจมตีอุปกรณ์ NAS

QNAP ผู้จำหน่าย Network-attached storage (NAS) เตือนผู้ใช้งานให้เฝ้าระวังอุปกรณ์จากการถูกโจมตีโดย Checkmate ransomware

QNAP กล่าวว่าการโจมตีมุ่งเป้าไปที่อุปกรณ์ QNAP ที่เข้าถึงได้จากอินเทอร์เน็ต โดยมีการเปิดใช้งาน SMB และมีรหัสผ่านที่ไม่รัดกุม ซึ่งอาจทำให้สามารถถูกเดารหัสผ่านได้อย่างง่ายดาย

จากการตรวจสอบเบื้องต้นพบว่า *Checkmate ransomware* สามารถโจมตีผ่านโปรโตคอล SMB ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และใช้การโจมตีแบบ dictionary attack เพื่อโจมตีบัญชีที่มีรหัสผ่านที่ไม่รัดกุม

Checkmate เป็นแรนซัมแวร์ตัวใหม่ที่ถูกค้นพบเมื่อเร็วๆ นี้ ซึ่งถูกใช้ในการโจมตีเมื่อประมาณวันที่ 28 พฤษภาคม ซึ่งจะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .checkmate และทิ้งข้อความเรียกค่าไถ่ชื่อ !CHECKMATE_DECRYPTION_README

จากบันทึกเรียกค่าไถ่ที่ BleepingComputer ตรวจพบ ผู้โจมตีบังคับให้เหยื่อจ่ายเงิน Bitcoin มูลค่า 15,000 ดอลลาร์เพื่อแลกกับการถอดรหัส และคีย์ถอดรหัส

จากข้อมูลของ QNAP ผู้โจมตีที่อยู่เบื้องหลังแคมเปญนี้จะ remote เข้าสู่ระบบในอุปกรณ์ด้วยบัญชีที่ถูกโจมตี หลังจากเข้าถึงได้พวกเขาจะเริ่มเข้ารหัสไฟล์ในโฟลเดอร์

วิธีป้องกันการโจมตีจาก Checkmate ransomware

QNAP เตือนผู้ใช้งานไม่ควรเปิดให้เข้าถึง NAS ของตนได้จากอินเทอร์เน็ต และใช้ VPN ในการเข้าถึงแทน นอกจากนี้ผู้ใช้งาน QNAP ควรใช้รหัสผ่านที่มีความรัดกุม และทำการตรวจสอบบัญชี NAS ทั้งหมดในปัจจุบันของตน และทำการสำรองไฟล์ไว้อย่างสม่ำเสมอ

ควรปิดการใช้งาน SMB 1 โดยผู้ที่ใช้ QTS, QuTS hero หรือ QuTScloud ให้ไปที่ Control Panel > Network & File > Win/Mac/NFS/WebDAV > Microsoft Networking, เลือก "SMB 2 or higher" หลังจากคลิก Advanced Options.

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS)

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.

QNAP แจ้งเตือนผู้ใช้เกี่ยวกับการโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS

QNAP ออกแจ้งเตือนผู้ใช้เกี่ยวกับแคมเปญ การโจมตีด้วย Brute-force attacks ที่กำหนดเป้าหมายไปยังอุปกรณ์ QNAP NAS อย่างต่อเนื่อง และได้ออกคำแนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

QNAP ได้รับรายงานว่าผู้ใช้หลายรายกำลังถูกผู้ไม่หวังดีพยายามที่จะเข้าสู่ระบบของอุปกรณ์ QNAP โดยใช้วิธีโจมตีด้วยเทคนิค Brute-force attacks หากอุปกรณ์ QNAP มีการใช้รหัสผ่านที่ง่ายหรือคาดเดาได้ เช่น “password” หรือ “12345” จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์ได้โดยง่าย และสามารถขโมยเอกสารที่มีความสำคัญหรือติดตั้งมัลแวร์ได้ โดยผู้ดูแลควรหมั่นตรวจสอบข้อมูล log การเข้าสู่ระบบ เนื่องจากการคาดเดารหัสผ่านจะทำให้เกิด log ที่แจ้ง "Failed to login" หากเจอ log ลักษณะดังกล่าวในปริมาณมากกว่าปกติ หรือเจอบ่อย ๆ ควรมีการตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์

QNAP ได้ออกคำแนะนำให้ผู้ใช้อุปกรณ์ NAS ทำการเปลี่ยนหมายเลขพอร์ตของ Default access และควรทำการใช้รหัสผ่านที่คาดเดาได้ยาก จากนั้นปิดใช้งานบัญชี admin หากไม่จำเป็นที่จะต้องใช้งาน เนื่องจากบัญชีดังกล่าวตกเป็นเป้าหมายในการโจมตี และผู้ดูแลระบบควรทำการสร้างบัญชีผู้ดูแลระบบใหม่ เพื่อป้องกันการตกเป็นเป้าหมายจากการโจมตี ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปอ่านรายละเอียดการตั้งค่าความปลอดภัยได้ที่: qnap

ที่มา: bleepingcomputer

Routers, NAS Devices, TVs Hacked at Pwn2Own Tokyo 2020

Pwn2Own Tokyo 2020 ผู้เข้าแข่งขันได้สาธิตการแฮกเราท์เตอร์, ผลิตภัณฑ์ NAS และทีวี และสามารถกวาดเงินรางวัลไปจำนวน 136,000 ดอลลาร์

การเเข่งขัน Pwn2Own Tokyo 2020 ซึ่งเป็นการเเข่งขันการโจมตีช่องโหว่ในเป้าหมายที่กำหนดโดย ZDI จาก Trend Micro สิ้นสุดลงแล้ว โดยในปี 2020 มีผู้เข้าร่วมการเเข่งขันมากมายและช่องโหว่ที่ผู้เข้าร่วมการแข่งขันให้ความสนใจเป็นพิเศษคือเราท์เตอร์, ผลิตภัณฑ์ NAS และทีวี ซึ่งมีจำนวนช่องโหว่ 23 ช่องโหว่ในอุปกรณ์ 6 ชนิดที่ถูกเปิดเผย

สำหรับทีมที่เป็นผู้ชนะในปีนี้คือทีม Flashback ซึ่งได้รับเงินรางวัลรวม 40,000 ดอลลาร์จากการแฮกเราท์เตอร์ TP-Link AC175 และ NETGEAR Nighthawk R7800

ทีมอันดับที่สองคือทีม DEVCORE ได้รับเงินรางวัล 20,000 ดอลลาร์จากการสาธิตการใช้ประโยชน์จากช่องโหว่บนผลิตภัณฑ์ Synology DiskStation DS418Play NAS ได้สำเร็จและเงินรางวัล 17,500 ดอลลาร์สำหรับการใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ NAS Western Digital My Cloud Pro Series PR4100

ทีม Trapa Security ได้รับเงินรางวัล 20,000 ดอลลาร์สำหรับการใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ WD และเงินรางวัล 5,000 ดอลลาร์สำหรับแฮกเราท์เตอร์ NETGEAR ทีม STARLabs ได้รับยอดรวมเท่ากันสำหรับการหาประโยชน์จากเราท์เตอร์ NETGEAR และอุปกรณ์ Synology NAS

ผู้เข้าแข่งขันสามารถกวาดเงินรางวัลการแข่งขันครั้งนี้เป็นจำนวนเงินมากว่า 136,000 ดอลลาร์หรือเป็นเงิน 4,146,368 บาท และทางผู้ผลิตมีเวลา 120 วันในการเเพตซ์ช่องโหว่ก่อนที่ช่องโหว่จะถูกเปิดเผยต่อสาธารณะ

ทั้งนี้ในงานแข่งขันผู้เข้าร่วมยังสามารถการใช้ประโยชน์จากช่องโหว่แฮกสมาร์ททีวี Samgung และ Sony แต่พวกเขาไม่ได้รับเงินเนื่องจากช่องโหว่ที่พวกเขาใช้ถูกเปิดเผยแล้ว

ที่มา: securityweek

QNAP แก้ไขช่องโหว่ในแอป Helpdesk ที่อาจทำให้ผู้โจมตีสามารถยึดอุปกรณ์ได้

QNAP ได้ทำการอัปเดตเเพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญสองรายการในแอปพลิเคชัน Helpdesk ซึ่งอาจทำให้ผู้โจมตีสามารถเข้ายึดอุปกรณ์จัดเก็บข้อมูล (NAS) ที่ไม่ได้รับการแพตช์เเก้ไขช่องโหว่จาก QNAP

Helpdesk เป็นแอปพลิเคชันที่มาพร้อมกับอุปกรณ์ NAS ของ QNAP โดยจะอนุญาตให้ผู้ดูแลระบบส่งคำขอความช่วยเหลือไปยังทีมสนับสนุน QNAP ทางอินเทอร์เน็ต ซึ่งแอปพลิเคชันนี้ยังมาพร้อมกับฟีเจอร์การสนับสนุนจากระยะไกลที่อนุญาตให้เชื่อมต่อกับอุปกรณ์จากระยะไกลได้โดยรับอนุญาตจากเจ้าของ

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2506 และ CVE-2020-2507 โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ QNAP ได้

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์แอปพลิเคชัน Helpdesk ให้เป็นเวอร์ชัน 3.0.3 หรือมากกว่าเพื่อเป็นการป้องกันการโจมตีระบบจากผู้ประสงค์ร้าย

ที่มา : bleepingcomputer