ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

NCC Group บริษัทรักษาความปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยถึงการพบการใช้ประโยชน์จากช่องโหว่ Zero-day ของ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก

สืบเนื่องมาจากวันที่ 22 มกราคมที่ผ่านมา บริษัท SonicWall ได้เปิดเผยถึงเหตุการณ์การโจมตีระบบภายในเครือข่ายของบริษัทโดยใช้ช่องโหว่ Zero-day ที่อยู่ภายในในอุปกรณ์เครือข่ายของ SonicWall และจากการตรวจสอบพบช่องโหว่ Zero-day ที่จะส่งผลกระทบต่อชุดอุปกรณ์ SMA ซีรีส์ 100 ที่ใช้เฟิร์มแวร์ 10.x

ในช่วงสุดสัปดาห์ที่ผ่านมา NCC Group ได้ตรวจพบการพยายามใช้ประโยชน์จากช่องโหว่ Zero-day ของอุปกรณ์ SonicWall SMA ซีรีส์ 100 เป็นจำนวนมาก ซึ่งยังไม่แน่ชัดว่าช่องโหว่ที่ถูกพยายามใช้ประโยชน์นี้จะเป็นช่องโหว่เดียวกันกับที่ SonicWall ได้ทำการเปิดเผยเมื่อเร็วๆ นี้หรือไม่ โดย NCC Group ไม่ได้ให้รายละเอียดของการใช้ประโยชน์จากช่องโหว่ Zero-day เพื่อป้องกันการใช้ในทางที่ผิด

ทั้งนี้ SonicWall ได้ออกประกาศว่าแพตช์แก้ไขความปลอดภัยของช่องโหว่จะพร้อมใช้งานในวันที่ 2 กุมภาพันธ์ 2021 โดยในขณะรอเเพตช์ความปลอดภัย SonicWall ได้แนะนำให้ลูกค้าทำการดาวน์เกรดอุปกรณ์เพื่อใช้เฟิร์มแวร์ 9.x และหาก SMA 100 ซีรีส์ (10.x) อยู่หลังไฟร์วอลล์ให้ทำการบล็อกการเข้าถึง SMA 100 ทั้งหมดบนไฟร์วอลล์ จากนั้นเปิดใช้งาน Multi Factor Authentication (MFA) บนอุปกรณ์และที่สำคัญยิ่งไปกว่านั้น คือจำกัดการเข้าถึงอินเทอร์เฟซการจัดการระบบเฉพาะ IP ที่อนุญาตพิเศษเท่านั้นเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | zdnet

Richard Warren จาก NCC Group เปิดเผยข้อมูลการค้นพบช่องโหว่ล่าสุดใน Pulse Connect Secure (PCS) โดยมีรหัสช่องโหว่คือ CVE-2020-8243 และมีคะแนน CVSSv3 เป็น 7.2 ช่องโหว่นี้เป็นช่องโหว่ในลักษณะของ template injection ซึ่งส่งผลให้ผู้โจมตีผ่านการพิสูจน์และมีสิทธิ์ของระบบสามารถรันโค้ดอันตรายด้วยสิทธิ์ root ได้

ปัญหาของช่องโหว่นี้เกิดจากการที่อุปกรณ์มีการเปิดให้บัญชีซึ่งมีสิทธิ์เป็นผู้ดูแลระบบสามารถอัปโหลดเทมเพลตสำหรับการปรับแต่งหน้าล็อกอินและหน้าการประชุมได้ แม้จะมีการบล็อกเมธอดอันตรายในเอนจิน Perl Template Toolkit ซึ่งเป็นส่วนประมวลผลแล้ว ผู้โจมตีก็ยังคงสามารถข้ามผ่านมาตรการป้องกันและอัปโหลดเทมเพลตที่เป็นอันตรายได้ต่อ

การแก้ไขช่องโหว่นี้สามารถทำได้โดยการอัปโหลดรุ่นของอุปกรณ์ Pulse Connect Secure และ Pulse Policy Secure 9.1R8.2 หรือมากกว่า ขอให้ทำการอัปเดตแพตช์โดยด่วนเพื่อลดความเสี่ยงของการใช้ช่องโหว่เพื่อโจมตีและฝังแบ็คดอร์ไว้ในระบบ

ที่มา : nccgroup

กรณีการรั่วไหลของ CREST: ผู้บริหารชั่วคราวขึ้นรับผิดชอบการตรวจสอบ ว่าจ้างฝ่ายกฎหมายและฝ่ายสืบสวนจากภายนอกเข้าร่วม

จากกรณีของการรั่วไหลของข้อมูลและรายละเอียดการสอบ CREST จาก NCC Group ซึ่งไอ-ซีเคียวได้เคยนำเสนอมาก่อนหน้า CREST ได้เริ่มทำการตรวจสอบภายในแล้วโดยมี Rob Dartnall ขึ้นเป็นผู้บริหารและควบคุมการสอบสวนชั่วคราว ในขณะที่ Mark Turner ซึ่งเป็นพนักงานระดับ Director ของ NCC Group และยังเป็นหนึ่งในบอร์ดของ CREST ได้ตัดสินใจหยุดการทำหน้าที่ชั่วคราวเพื่อให้การสืบสวนสามารถดำเนินการต่อได้โดยไม่มีข้อกังขาจากภายนอก

อ้างอิงจากข้อมูลล่าสุด CREST ได้มีการว่าจ้างฝ่ายกฎหมายและฝ่ายสืบสวนจากภายนอกเข้ามาร่วมตรวจสอบการรั่วไหลของข้อมูลครั้งนี้ โดยแหล่งข่าวมีการระบุว่าฝ่ายสืบสวนที่มีส่วนร่วมนั้นเป็นอดีตหัวหน้าตำรวจสืบสวนเก่าที่มีประสบการณ์และน่าจะมีความน่าเชื่อถือมากพอในการรับมือกับเหตุการณ์นี้ ในขณะเดียวกัน CREST ยังได้มีการกำชับฝ่ายกฎหมายให้เข้ารับผิดชอบการเจรจาและพูดคุยกับทาง NCC Group เพื่อระบุหาข้อมูลที่เป็นไปได้และเป็นประโยชน์ต่อรูปสถานการณ์

นอกเหนือจากความคืบหน้าในการสืบสวน The Register ซึ่งเป็นผู้รายงานข่าวนี้นั้นยังได้รับข้อมูลเพิ่มเติมถึงรายละเอียดข้อมูลที่รั่วไหลออกมา โดยหนึ่งในข้อมูลที่หลายรั่วออกมาอยู่ในลักษณะของไฟล์นำเสนอที่มีโลโก้ของ NCC Group โดยภายในมีรายละเอียดอย่างชัดเจนถึงวิธีในการผ่านกระบวนการสอบของ CREST รายขั้นตอน ไอ-ซีเคียวจะรายงานในประเด็นนี้เพิ่มเติมหากมีความคืบหน้าต่อไป

ที่มา: theregister.

มีการตรวจพบข้อมูลสำหรับการสอบ CREST Registered Penetration Tester หรือ CRT ซึ่งมีการปรากฎของโลโก้บริษัทด้าน Cybersecurity ชื่อดัง "NCC Group" ถูกเผยแพร่บน GitHub โดยข้อมูลที่ถูกเผยแพร่นั้นประกอบไปด้วยเอกสารการอบรม, เอกสารอธิบายขั้นตอนตามลำดับในการทำข้อสอบของ CREST รวมไปถึงโน้ตที่มีการอ้างอิงถึง "เวอร์ชันโคลนของแอปที่ใช้สอบเพื่อให้ผ่านในครั้งแรก", "อุปกรณ์ภายในที่เกี่ยวข้องกับสอบ CRT" รวมไปถึงเนื้อหาข้อสอบบางส่วนด้วย

การปรากฎของข้อมูลดังกล่าวทำให้ประเด็นของการมี "ดีลลับ" ระหว่างบริษัท NCC Group และสถาบัน CREST กลายเป็นประเด็นขึ้นมา หนึ่งในแหล่งข่าวที่ให้ข้อมูลกับ The Register นั้นกล่าวว่า การมีอยู่ของข้อมูลดังกล่าวนั้นถือว่าเป็น Open secret ในวงการ Cybersecurity ของสหราชอาณาจักรมานานแล้วเพียงแต่รู้กันในวงแคบ การปรากฎของข้อมูลดังกล่าวเป็นหลักฐานชิ้นสำคัญที่อาจช่วยยืนยันว่ากระบวนการ Certification ที่เชื่อถือกันมานานนั้นอาจไม่ได้มีความน่าเชื่อถือเท่าที่เราคิดกัน

สถาบันด้านการอบรมเกี่ยวกับ Cybersecurity พร้อม Certification ชื่อดังในประเทศอังกฤษ "CREST" ออกมายอมรับและยืนยันข้อมูลความเป็นจริงของข้อมูลดังกล่าวและกล่าวว่าจะดำเนินการสืบสวนต่อเนื่องจากเป็นการผิด NDA อย่างร้ายแรงซึ่งอาจส่งผลให้เกิดการยึดคืน Certificate ในขณะเดียวกันทาง NCC Group ก็ออกมาแถลงว่าเอกสารดังกล่าวว่าแม้จะมีการปรากฎของโลโก้ NCC Group แต่เอกสารดังกล่าวก็ไม่เกี่ยวข้องกับ NCC Group แต่อย่างใด และยังยืนยันถึงความเคารพในกระบวนการของ CREST ด้วย

ที่มา: theregister.