NSA และหน่วยงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เผยแพร่รายงาน 5 ฉบับ ซึ่งเป็นแนวทางปฏิบัติที่แนะนำ (best practices) ในการรักษาความปลอดภัยของระบบ Cloud Service

Cloud service เป็นที่นิยมอย่างมากสำหรับองค์กร เนื่องจากสามารถให้บริการเซิร์ฟเวอร์ พื้นที่เก็บข้อมูล และแอปพลิเคชันที่มีการจัดการ โดยที่ผู้ใช้งานไม่ต้องจัดการโครงสร้างพื้นฐานด้วยตนเอง โดย Cloud service เป็นที่แพร่หลายในการใช้งานของนักพัฒนาแอปพลิเคชันระดับองค์กรจำนวนมาก ทั้งเวอร์ชันภายในองค์กร และเวอร์ชันที่โฮสต์บนคลาวด์ ซึ่งช่วยลดภาระของผู้ดูแลระบบขององค์กร (more…)

 

Eyal Itkin และ Itay Cohen สองนักวิจัยจาก Check Point เผยแพร่งานวิจัยที่เกี่ยวข้องกับการติดตามการใช้ช่องโหว่ในการโจมตีโดยกลุ่ม APT ซึ่งนำเสนอหลักฐานใหม่ที่พิสูจน์ให้เห็นว่ากลุ่ม APT สัญชาติจีน APT31 มีการใช้โค้ดสำหรับโจมตีช่องโหว่ชุดเดียวกับที่รั่วไหลมาจากกลุ่ม Tailored Access Operation (TAO) ซึ่งเป็นแผนกหนึ่งของสำนักงานมั่นคงแห่งชาติ (National Security Agency - NSA) หรือที่รู้จักกันในอีกโฉมหน้าหนึ่งคือกลุ่ม APT "Equation Group"

 

หากย้อนกลับไปในปี 2016-2017 กลุ่มแฮกเกอร์ Shadow Brokers ซึ่งทุกวันนี้ยังไม่สามารถระบุตัวตนได้ได้มีการเปิดประมูลเครื่องมือและโค้ดสำหรับโจมตีช่องโหว่ของ Equation Group และต่อมามีการปล่อยให้ดาวน์โหลดภายใต้ชื่อแคมเปญ Lost in Translation จนเป็นที่มาของมัลแวร์ WannaCry ที่มีการใช้หนึ่งในช่องโหว่ที่รั่วไหลออกมาอย่าง EternalBlue ในการโจมตี

 

สองนักวิจัยจาก Check Point ได้ทำการวิเคราะห์ช่องโหว่ CVE-2019-0803 ซึ่งถูกระบุโดย NSA ว่าเป็นหนึ่งในช่องโหว่ที่มักถูกใช้มากที่สุดโดยกลุ่มแฮกเกอร์ หลังการวิเคราะห์ช่องโหว่ CVE-2019-0803 ทีม Check Point ได้ทำการวิเคราะห์ช่องโหว่ตัวถัดไปที่น่าสนใจคือ CVE-2017-0005

 

ช่องโหว่ CVE-2017-005 เป็นช่องโหว่ยกระดับสิทธิ์ (Privilege escalation) ใน Windows ช่องโหว่นี้ถูกใช้โดยกลุ่มแฮกเกอร์ APT31 หรือที่รู้จักกันในชื่อ Zirconium ประวัติของช่องโหว่นี้มีมาอย่างยาวนาน มันถูกแจ้งไปยังไมโครซอฟต์ครั้งแรกโดยทีม IR ของ Lockheed Martin ในปี 2017 หลังจากถูกใช้มาแล้วตั้งแต่ปี 2013 การวิเคราะห์ช่องโหว่ของทีม Check Point บ่งบอกถึงความเหมือนกันของโค้ดที่แฮกเกอร์จีนใช้ และโค้ดที่หลุดออกมาจากฝั่ง NSA จากสหรัฐฯ อย่างชัดเจน

 

เมื่อช่องโหว่ในระดับเดียวกัน Cyberweapon มีการถูกใช้งานก่อนจะมีการรั่วไหลออกมา แน่นอนว่าสมมติฐานหลายอย่างก็เกิดขึ้นต่อความเป็นไปได้ในเหตุการณ์นี้ ทีม Check Point ได้สรุปสมมติฐานและความเป็นไปได้ของเหตุการณ์ที่เกิดขึ้นออกมาได้ 3 ลักษณะ คือ

 

1. ฝั่งอเมริกาอาจทำการโจมตีต่อเป้าหมายในจีน และทำโค้ดสำหรับโจมตีช่องโหว่หลุด

2. ฝั่งอเมริกาอาจทำการโจมตีเป้าหมายในประเทศหรือองค์กรอื่นซึ่งถูกเฝ้าระวังหรือมอนิเตอร์โดยกลุ่มจากฝั่งจีน ทำให้จีนสามารถเก็บโค้ดการโจมตีไปได้

3. โค้ดสำหรับโจมตีหลุดมาจาก Infrastructure ของฝั่งอเมริกาเอง ซึ่งอาจเกิดขึ้นจากฝ่ายจีนโจมตีเข้าไป หรือฝั่งอเมริกาดูแลโค้ดไม่ดี

 

เหตุการณ์ในลักษณะนี้ไม่ใช่เหตุการณ์แรกที่เคยเกิดขึ้น ในอดีต Symantec เคยตรวจพบการใช้ช่องโหว่ Zero day เดียวกับ Equation Group มาแล้วโดยกลุ่ม APT3 โดยข้อสรุปสำหรับเหตุการณ์ในขณะนั้นซึ่งมีโอกาสเป็นไปได้มากที่สุดคือการที่กลุ่ม APT3 ทำการศึกษา Network traffic ที่เกิดจากการโจมตี ก่อนจะประกอบร่างกลับมาเป็นโค้ดสำหรับโจมตี

 

งานวิจัยหลัก: checkpoint

 

ที่มา: theregister, threatpost, zdnet

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.

สำนักงานความมั่นคงแห่งชาติ (National Security Agency - NSA) ได้ออกแจ้งเตือนถึงกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลของรัสเซียกำลังใช้ประโยชน์จากช่องโหว่ CVE-2020-4006 ในผลิตภัณฑ์ VMware Workspace One ที่เพิ่งได้รับการแก้ไขช่องโหว่ในการขโมยข้อมูลที่มีความละเอียดอ่อนจากเป้าหมาย

ช่องโหว่ CVE-2020-4006 เป็นช่องโหว่ Command injection ช่องโหว่ถูกพบใน Administrative configurator ของ VMware Workspace ONE Access บางรุ่น, Access Connector, Identity Manager และ Identity Manager Connector โดยผู้โจมตีที่สามารถเข้าถึงระบบ Administrative configurator ในเครือข่ายด้วยพอร์ต 8443 และมีรหัสผ่านที่ถูกต้องของ VMware สามารถรันคำสั่งบนระบบปฏิบัติการด้วยสิทธิ์เต็มของผู้ดูแลระบบระบบปฏิบัติการได้ ซึ่งผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่

VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.1 ถึง 3.3.3 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
การตรวจจับการโจมตีเกิดจากที่ทาง NSA ได้สังเกตเห็นกลุ่มแฮกเกอร์ที่ได้ทำการเชื่อมต่อกับอินเทอร์เฟซ Administrative configurator ในผลิตภัณฑ์ที่มีช่องโหว่และทำการแทรกซึมเครือข่ายขององค์กรเพื่อติดตั้ง Web shell หลังจากนั้นกลุ่มแฮกเกอร์ได้ใช้ Web shell ทำการขโมยข้อมูลที่มีความละเอียดอ่อน โดยใช้ SAML credential เพื่อเข้าถึงเซิร์ฟเวอร์ Microsoft Active Directory Federation Services (ADFS) ภายในเครือข่าย

ทั้งนี้ผู้ดูแลระบบทำการอัปเดตแพตช์ความปลอดภัยเป็นการด่วน เพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบ ทั้งนี้ผู้ดูแลระบบสามารถเข้าไปดูรายละเอียดและดาวน์โหลดแพตช์เพิ่มเติมได้ที่: vmware

ที่มา: bleepingcomputer | securityaffairs