ทีม Intelligent Response ได้ทำการวิเคราะห์และอธิบายรายละเอียดของช่องโหว่ NAT Slipstreaming ไว้แล้ว ผู้ที่สนใจสามารถอ่านเพิ่มเติมได้ที่ i-secure

นักวิจัยด้านความปลอดภัยจาก Armis ได้มีการเปิดเผยแนวทางการโจมตีใหม่สำหรับช่องโหว่ NAT Slipstreaming ภายใต้ชื่อ NAT Slipstreaming 2.0 โดยผลลัพธ์การโจมตีจากวิธีการใหม่นั้นจะทำให้ผู้โจมตีสามารถเข้าถึงทุกอุปกรณ์ซึ่งอยู่ในเครือข่ายภายในได้ (หลังอุปกรณ์ไฟร์วอลล์) จากเดิมที่สามารถเข้าถึงได้จากอุปกรณ์เดียวเมื่อโจมตีโดยใช้เทคนิคการโจมตีแบบดั้งเดิม

ในเทคนิค NAT Slipstreaming 2.0 นั้น การโจมตีจะพุ่งเป้าไปที่ H.323 ALG แทน ALG ทั่วไปซึ่งจะทำให้ผู้โจมตีสามารถสร้างช่องทางเพื่อทะลุผ่านอุปกรณ์ NAT และไฟร์วอลล์ไปยังอุปกรณ์ใด ๆ ที่อยู่ในเครือข่ายภายในได้ เพียงแค่เป้าหมายมีการเข้าถึงเว็บไซต์ที่ผู้โจมตีส่งให้ การโจมตีใน NAT Slipstreaming 2.0 ยังมีการใช้โปรโตคอล WebRTC TURN ผ่านโปรโตคอล TCP ไปยังพอร์ตใด ๆ ที่ผู้โจมตีต้องการ โดยการใช้ WebRTC TURN ช่วยบายพาสลอจิคการตรวจสอบพอร์ตของโปรแกรมเว็บเบราว์เซอร์ซึ่งมีการตั้งค่ามาเพื่อป้องกัน NAT Slipstreaming รุ่นแรกอีกด้วย

ทาง Armis ได้เปิดเผยผลกระทบของ NAT Slipstreaming 2.0 ที่มีต่ออุปกรณ์เครือข่าย โดยจากการทดสอบนั้นระบบและอุปกรณ์ที่ได้รับผลกระทบได้แก่ OpenWRT, VyOS, บางรุ่นของ Fortigate, Cisco, HPE และ Sonicwall (ดูรุ่นของอุปกรณ์ที่ได้รับผลกระทบจากงานวิจัย)

ในขณะเดียวกัน Google ได้มีการประกาศเพิ่มพอร์ตที่ถูกบล็อคเพิ่มเติมให้ไม่สามารถใช้งาน HTTP/HTTPS/FTP ผ่านทางพอร์ตเหล่านี้เพื่อป้องกันการโจมตี โดยพอร์ตที่จะถูกบล็อคล่าสุดได้แก่ 69, 137, 161, 1719, 1723, 6566, และ 10080

รายละเอียดของเทคนิค NAT Slipstreaming 2.0 สามารถอ่านเพิ่มเติมได้ที่ armis

ที่มา: zdnet

เมื่อวันเสาร์ที่ 16 มกราคม 2021 ที่ผ่านมาฟอรัม OpenWRT ได้ถูกโจมตีซึ่งทำให้บัญชีผู้ใช้และบัญชีผู้ดูแลระบบของฟอรัม OpenWRT ตกอยู่ในความเสี่ยงจากการบุกถูกบุกและความเสี่ยงจากการอาจทำให้ถูกเปิดเผยข้อมูลของผู้ใช้

การโจมตีเกิดขึ้นในเวลาประมาณ 04:00 นาฬิกา (GMT) เมื่อทีมดูแลระบบตรวจพบบุคคลที่ไม่ได้รับอนุญาตเข้าถึงผู้ดูแลระบบและพยายามทำการคัดลอกรายการที่มีรายละเอียดเกี่ยวกับผู้ใช้ในฟอรัมและข้อมูลที่เกี่ยวข้องอื่นๆ ผู้บุกรุกใช้บัญชีของผู้ดูแลระบบ OpenWRT เข้าสู่ระบบโดยไม่ผ่านการตรวจสอบ Two-factor authentication (2FA) ซึ่งการบุกรุกครั้งนี้ผู้บุกรุกได้ทำการขโมย Email address และข้อมูลการจัดการของผู้ใช้ฟอรัมไปทั้งหมด

อย่างไรก็ตามทางทีมผู้ดุแลระบบฟอรัม OpenWRT ได้ทำการรีเซ็ตรหัสผ่านทั้งหมดในฟอรัมเพื่อความปลอดภัยและทำให้คีย์ API ทั้งหมดที่ใช้สำหรับกระบวนการพัฒนาโปรเจ็กต์หมดอายุ ผู้ใช้ที่เข้าสู่ระบบต้องตั้งรหัสผ่านใหม่ด้วยตนเองจากเมนูเข้าสู่ระบบ โดยระบุชื่อผู้ใช้และปฏิบัติตามคำแนะนำในการรับรหัสผ่านใหม่

ทั้งนี้ผู้ใช้อาจตกอยู่ในความเสี่ยงจากอีเมลฟิชชิง ซึ่งผู้ใช้อย่าคลิกลิงก์ที่แนบมากับอีเมล แต่ให้พิมพ์ URL ของฟอรัม OpenWRT ใหม่ด้วยตนเอง เพื่อป้องกันการรีไดเร็คไปยังเว็บไซต์ของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Guido Vranken จากบริษัท ForAllSecure ได้เผยรายละเอียดทางเทคนิคต่อทีมพัฒนา OpenWrt ในบล็อก เกี่ยวกับช่องโหว่การโจมตีระยะไกล (RCE) ที่ผลกระทบต่อกระทบอุปกรณ์เน็ตเวิร์ค ที่ใช้ OpenWrt ซึ่งเป็นระบบปฏิบัติการบน Linux ที่ใช้กันอย่างแพร่หลายในเร้าเตอร์เกตเวย์และอุปกรณ์ embedded

ช่องโหว่ CVE-2020-7982 เป็นช่องโหว่การจัดการใน OPKG package manager ของ OpenWrt ที่จะทำการตรวจสอบความสมบูรณ์ของแพ็กเกจในการดาวน์โหลด โดยใช้ SHA-256 checksum ถ้าผู้โจมตีเรียกใช้คำสั่ง 'opkg install' บนระบบ ช่องโหว่จะอนุญาตให้ผู้โจมตีระยะไกลสามารถรันโค้ดโดยการหลอกระบบ เพื่อเข้าสู่การติดตั้งแพ็กเกจที่เป็นอันตรายหรือซอฟต์แวร์อัพเดตของผู้โจมตีโดยไม่ต้องตรวจสอบ เนื่องจากไฟล๋ opkg บน OpenWrt ทำงานด้วย Root จะสามารถเข้าถึงการเขียนระบบไฟล์ทั้งหมด การโจมตีช่องโหว่นั้นจะทำให้ผู้โจมตีระยะไกลสามารถควบคุมอุปกรณ์เครือข่าย OpenWrt ของเป้าหมายได้

รุ่นที่ได้รับผลกระทบ

OpenWrt เวอร์ชั่น 18.06.0 ถึง 18.06.6 และ 19.07.0 เช่นเดียวกับ LEDE 17.01.0 ถึง 17.01.7

การเเก้ไข

Vranken ได้แนะนำให้ลบ SHA256 checksum ออกจากรายการแพ็กเกจหลังจากทำการติดตั้งแพ็กเกจและขอแนะนำให้อัพเกรดเฟิร์มแวร์อุปกรณ์เป็น OpenWrt รุ่นล่าสุด 18.06.7 และ 19.07.1

ที่มา: thehackernews