ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากบริษัท NCC Group และนักวิจัยด้านรักษาความปลอดภัยจาก Bad Packets ได้ตรวจพบการพยายามใช้ช่องโหว่ CVE-2021-22986 ในอุปกรณ์ F5 BIG-IP และ BIG-IQ อย่างมากในสัปดาห์ที่ผ่านมา

สืบเนื่องมาจากเมื่อช่วงต้นเดือนมีนาคม F5 Networks ได้เปิดตัว การอัปเดตด้านความปลอดภัยสำหรับช่องโหว่ร้ายเเรงจำนวน 7 รายการในผลิตภัณฑ์ BIG-IP ซึ่งสามารถอ่านรายละเอียดได้ที่: i-secure

โดยหลังจากที่นักวิจัยด้านความปลอดภัยได้ทำการเผยแพร่โค้ด Proof-of-Concept สำหรับช่องโหว่ทางสาธารณะหลังจากที่ทาง F5 Networks ได้ทำการการแก้ไขช่องโหว่แล้ว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก NCC Group และ Bad Packets ได้สังเกตเห็นกลุ่มแฮกเกอร์หลายกลุ่มเริ่มทำการโจมตีอุปกรณ์ F5 BIG-IP และ BIG-IQ ที่ไม่ได้รับการอัปเดตเเพตช์จำนวนมาก นอกจากนี้ทีม Unit 42 จาก Palo Alto Networks ยังได้พบการพยายามที่จะใช้ประโยชน์จากช่องโหว่ CVE-2021-22986 เพื่อทำการติดตั้ง Mirai botnet ในรุ่นต่างๆ แต่ในขณะนี้ยังมีไม่ความชัดเจนการโจมตีเหล่านั้นประสบความสำเร็จหรือไม่

สำหรับช่องโหว่ CVE-2021-22986 เป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลที่ช่วยให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันคำสั่งได้ในส่วน iControl REST interface ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 /10 และมีผลต่ออุปกรณ์ BIG-IP และ BIG-IQ

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ออกมาแนะนำให้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตช์โดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของการโจมตีจากผู้ประสงค์ร้าย

ที่มา: securityaffairs, bleepingcomputer, thehackernews

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.

Palo Alto Networks ประกาศการเข้าซื้อ Expanse ซึ่งเป็นผู้ให้บริการด้าน Attack surface management เมื่อกลางสัปดาห์ที่ผ่านมาในมูลค่า 800 ล้านดอลลาร์สหรัฐฯ โดยแนวทางของการเข้าซื้อนั้นค่อนข้างชัดเจนว่าส่วนของจะเข้ามาเติมเต็มฟีเจอร์ของกลุ่มโปรดักส์ Cortex ซึ่ง Palo Alto Networks ให้บริการอยู่ในขณะนี้

แพลตฟอร์มของ Expanse นั้นให้บริการการค้นหาและเฝ้าระวังทรัพยากรขององค์กรในอินเตอร์เน็ต รวมไปถึงการเฝ้าระวังและแจ้งเตือนพฤติกรรมที่ผิดปกติสำหรับกลุ่มทรัพยากรที่ถือเป็น attack surface พร้อมทั้งประเมินความเสี่ยงให้

ที่มา: zdnet.

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS ช่องโหว่ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies ซึ่งช่องโหว่ที่ถูกเเก้ไขนั้นมีระดับความรุนเเรงจาก CVSS อยู่ที่ 3.3 - 9.8 ช่องโหว่ที่มีความสำคัญมีรายละเอียดดังนี้

CVE-2020-2040 (CVSS: 9.8) เป็นช่องโหว่ Buffer overflow ใน PAN-OS โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูท โดยการส่งคำขอที่เป็นอันตรายไปยัง Captive Portal หรืออินเทอร์เฟซ Multi-Factor Authentication ช่องโหว่นี้ได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูทจะกระทบกับ PAN-OS 8.0 ทุกเวอร์ชัน, PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.15, PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9, PAN-OS 9.1 เวอร์ชันก่อนหน้า PAN-OS 9.1.3 โดยช่องโหว่นี้จะไม่ส่งผลกระทบกับ GlobalProtect VPN และ PAN-OS management web interfaces
CVE-2020-2036 (CVSS: 8.8) เป็นช่องโหว่ Cross-Site Scripting (XSS) ช่องโหว่อยู่ใน management web interfaces ช่องโหว่จะทำให้ผู้โจมตีจากระยะไกลที่ทำการหลอกผู้ดูแลระบบด้วยเซสชันที่ได้รับการพิสูจน์ตัวตนและใช้งานอยู่บน firewall management interface ให้ทำการคลิกลิงก์ที่สร้างขึ้นเป็นพิเศษโดยช่องโหว่จะทำให้สามารถเรียกใช้โค้ด JavaScript ได้โดยไม่ได้รับอนุญาตในเบราว์เซอร์ของผู้ดูแลระบบและผู้โจมตีจะสามารถดำเนินการในฐานะดูแลระบบได้ ช่องโหว่นี้มีผลกระทบกับ PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.16 และ PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9
CVE-2020-2041 (CVSS: 7.5) เป็นช่องโหว่ Denial-of-service (DoS) ใน Management web interface ช่องโหว่จะทำให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนจากระยะไกลสามารถส่งคำขอที่สร้างขึ้นโดยเฉพาะไปยังอุปกรณ์ที่ทำให้บริการ appweb ซึ่งเมื่อเกิดการส่งการร้องขอซ้ำหลายครั้งส่งผลใก้เกิด DoS ใน PAN-OS เซอร์วิสและจะทำให้อุปกรณ์เกิดการรีสตาร์ท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.0 และ PAN-OS 8.1 ทุกเวอร์ชันก่อนหน้า 8.1.16
CVE-2020-2037(CVSS: 7.2) และ CVE-2020-2038 (CVSS: 7.2) เป็นช่องโหว่ Command Injection ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีสามารถรันคำสั่งได้ด้วยสิทธิ์ของรูท ช่องโหว่จะกระทบกับ PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.10, PAN-OS 9.1 เวอร์ชันก่อนหน้า 9.1.4 และ PAN-OS 10.0 เวอร์ชันก่อนหน้า 10.0.1
CVE-2020-2042 (CVSS: 7.2) เป็นช่องโหว่ Buffer overflow ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีที่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์ระดับรูท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 10.0 เวอร์ชันก่อนหน้า PAN-OS 10.0.1
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของ PAN-OS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: security.

“การสร้างระบบความปลอดภัยทางด้านไซเบอร์ให้กับองค์กรควรจะเริ่มต้นอย่างไร

เริ่มต้นตรงจุดไหนเพื่อให้องค์กรของเรามีความปลอดภัยตามมาตรฐานสากล”

I-SECURE ร่วมกับ Palo Alto Networks และ Attivo Networks ขอเชิญทุกท่านเข้าร่วม Workshop Series การสร้างระบบความปลอดภัยทางด้านไซเบอร์ด้วย NIST Cybersecurity Frameworks และ CIS Controls ซึ่งเป็น Frameworks ที่ได้รับยอมรับและเป็นมาตรฐานสากล

พิเศษของที่ระลึกสำหรับ Early Bird 10 ท่านแรก

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet