ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs

Critical RCE Vulnerability Found in Palo Alto Networks VPN Product

Palo Alto Networks ออกแพทช์อัปเดตเพื่อแก้ไขช่องโหว่ร้ายแรงใน GlobalProtect portal และ GlobalProtect Gateway

Orange Tsai และ Meh Chang ทีมนักวิจัยด้านความปลอดภัยค้นพบช่องโหว่ remote code-execution (RCE) ใน GlobalProtect portal และ GlobalProtect Gateway โดยช่องโหว่ดังกล่าวได้รับ CVE-2019-1579 ซึ่งช่องโหว่ดังกล่าวทำให้่ให้ผู้โจมตีสามารถสั่งรันโปรแกรมที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องเข้าสู่ระบบ โดยทีมนักวิจัยได้ทำการเผยแพร่ PoC code สำหรับช่องโหว่ดังกล่าวและอธิบายวิธีการตรวจสอบว่าการติดตั้งมีความเสี่ยงหรือไม่โดยใช้คำสั่งแบบง่าย

ช่องโหว่ดังกล่าวเกิดจาก Gateway ส่งต่อค่าพารามิเตอร์โดยตรง ไม่มีการตรวจสอบและกำจัดค่าที่อาจเป็นอันตราย โดยมีผลกระทบกับ PAN-OS 7.1.18 และรุ่นก่อนหน้า, PAN-OS 8.0.11 และก่อนหน้าและ PAN-OS 8.1.2 และก่อนหน้า ในส่วนของ PAN-OS 9.0 ไม่ได้รับผลกระทบ

Palo Alto Networks ได้ทำการออกอัปเดต PAN-OS เวอร์ชันเป็น 7.1.19, 8.0.12 และ 8.1.3 เพื่อแก้ไขข้อผิดพลาด แนะนำให้ทำการอัปเดตแพตช์เพื่อลดเสี่ยงในการถูกโจมตี

ที่มา:securityweek

Palo Alto Networks PAN-OS Multiple Vulnerabilities

แพตช์ชุดใหญ่และร้ายแรง Palo Alto Networks ปล่อยแพตช์ PAN-OS 4 แพตช์ ทำ RCE ได้
เมื่อสัปดาห์ที่ผ่านมา Palo Alto Networks ได้มีการประกาศแพตช์ให้แก่ PAN-OS ทั้งหมด 4 แพตช์โดยจากใน 4 แพตช์นั้นมีช่องโหว่อันตรายร้ายแรง remote code execution และ remote command injection รวมอยู่ด้วย และอีกหนึ่งแพตช์จาก GlobalProtect Agent ทำให้ผู้โจมตียกระดับสิทธิ์ได้

แพตช์ทั้งหมด 5 แพตช์นั้นมีรายละเอียดดังนี้
CVE‌-2017-15944: Philip Pettersson ค้นพบวิธีรันโค้ดจากระยะไกลบน PAN-OS โดยการใช้สามช่องโหว่รวมกันโดยมีเงื่อนไขคือ อุปกรณ์จะต้องเปิดให้เข้าถึง web management interface ได้จาก WAN โดยในตอนนี้ผู้ค้นพบช่องโหว่ได้มีการเปิดเผยรายละเอียดของช่องโหว่และวิธีการโจมตีออกมาแล้ว แนะนำให้แพตช์โดยเร็วที่สุด กระทบ PAN-OS 6.1.18 และก่อนหน้า, PAN-OS 7.0.18 และก่อนหน้า, PAN-OS 7.1.13 และก่อนหน้าและ PAN-OS 8.0.5 และก่อนหน้า
CVE‌-2017-15940: Won Lae Lee จาก Samsung พบวิธีอัดฉีดคำสั่งที่เป็นอันตรายได้จากระยะไกล โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15942: Craig Stephen จาก Net Consulting ค้นพบช่องโหว่ DoS โดยมีเวอร์ชันที่ได้รับผลกระทบตรงกับช่องโหว่ด้านบน
CVE‌-2017-15943: Ekzhin Ear จาก NATO ค้นพบช่องโหว่ SSRF เพื่อทำ security bypass กระทบ PAN-OS 6.1.18 และก่อนหน้า และ PAN-OS 7.1.13 และก่อนหน้า
CVE‌-2017-15870: Brandon McCann ค้นพบช่องโหว่ยกระดับสิทธิ์ใน GlobalProtect Agent 3.1.0 และก่อนหน้า และ 4.02 และก่อนหน้า

แนะนำให้ตรวจสอบที่ https://support.

New variants of the UBoatRAT RAT hits targets in East Asia

Palo Alto Networks แจ้งเตือนการแพร่ระบาดของโทรจัน UBoatRAT ในแถบเอเชีย

กลุ่มนักวิจัยด้านความปลอดภัยจาก Palo Alto Networks ได้ประกาศแจ้งเตือนการค้นพบการแพร่กระจายของมัลแวร์ประเภทโทรจันหรือ RAT "UBoatRAT" ซึ่งพุ่งเป้าการโจมตีในแถบเอเชีย

มัลแวร์ UBoatRAT ใช้วิธีการแพร่กระจายผ่านทางลิงค์แชร์ไฟล์ซึ่งอยู่บนบริการของ Google Drive โดยมัลแวร์จะมีการดึงรายการของเซิร์ฟเวอร์ที่ใช้ในการสั่งการและควบคุม (C&C servers) บน GitHub และใช้ฟีเจอร์ BITS ของวินโดวส์ในการดาวโหลดและฝังตัวในระบบต่างๆ กระบวนการติดต่อกับ C&C server นั้นถูกออกแบบให้ใช้โปรโตคอลที่มีการเข้ารหัสแบบเฉพาะ

เมื่อเริ่มต้นทำงาน มัลแวร์ UBoatRAT จะมีการคัดลอกตัวเองไปยังพาธ C:\programdata\svchost.

Important URL Filtering Service Annoucement

สำหรับผู้ใช้อุปกรณ์ Palo Alto Networks มีข่าวที่ต้องการแจ้งให้ทราบว่ามีการสร้าง Category ใหม่สำหรับบริการกรอง URL ของ Palo Alto Networks โดย Category ที่เพิ่งเพิ่มขึ้นคือ “Command-and-Control” ซึ่งก่อนหน้านี้ถูกรวมอยู่ใน Category "Malware" มาตลอด ซึ่งการเพิ่ม Category "Command-and-Control" ขึ้นมานั้นเป็นการแยกข้อมูลมาจาก Category เดิม

ในวันที่ 12 กันยายน 2017 Category "Command-and-Control" ได้ถูกเผยแพร่ให้กับผู้ใช้งาน Palo Alto Networks Firewall เป็นที่เรียบร้อย อย่างไรก็ตามผู้ใช้ต้องตั้งค่าของอุปกรณ์ด้วยตนเองเพื่อให้สามารถใช้งาน Category

ข้อควรปฏิบัติ: แนะนำให้ดำเนินการอัพเดตและตั้งค่าโดยเร็วที่สุดโดยตั้งค่า Policy Action สำหรับ Command-and-Control ใหม่นี้เป็น BLOCK สำหรับแต่ละ Security Profile แม้ว่าจะยังไม่มีการจัดกลุ่มข้อมูลใดๆ ลงใน Category ก็ตาม เนื่องจากหากมีการเข้าถึงใดๆ ที่ไม่ปลอดภัยจากผู้ใช้งานและยังไม่มีการตั้งค่าเป็น BLOCK อาจส่งผลให้เกิดความเสี่ยงทางด้านความปลอดภัยได้

ทาง Palo Alto Networks ยังไม่ได้กำหนดวันที่ที่แน่ชัดสำหรับการเปิดใช้งาน Category นี้อย่างเป็นทางการแต่คาดการณ์ว่าผู้ใช้งานจะสามารถใช้งานฟีเจอร์ใหม่นี้ได้เร็วนี้ๆ ผู้ใช้งานสามารถติดตามข่าวและการเปลี่ยนแปลงใดๆ ของฟีเจอร์ได้จากหน้า FAQ (https://live.

Researchers Reveal New Toast Overlay Attack on Android Devices

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Palo Alto Networks เปิดเผยรายละเอียดการโจมตีบนฟีเจอร์ของ Android ที่เรียกว่า Toast Notification ซึ่งทำให้มัลแวร์ หรือผู้โจมตีได้รับสิทธิ์ระดับ Admin
Toast Notification ถูกใช้ในการแสดงข้อความแจ้งเตือนบนหน้าจอ ซึ่ง Toast Notification จะแสดงอยู่ในตำแหน่งล่าง ๆ ของหน้าจอ เป็น pop-up แสดงข้อความสั้น ๆ ให้ผู้ใช้ทราบ เช่น เมื่อมีการเพิ่มข้อมูล และบันทึกข้อมูลเรียบร้อยแล้ว หรือหน้าต่างสำหรับยืนยันการทำงานต่างๆ
เมื่อเหยื่อหลงกลติดตั้งแอพพลิเคชั่นแล้ว จะมี pop-up แจ้งเตือนให้ผู้ใช้งานดำเนินการบางอย่าง โดยใช้ความสามารถของ Toast Notification ซึ่งจะทำให้ pop-up นั้นได้สิทธิ์ Admin เหนือแอพพลิเคชั่นอื่นๆโดยปริยาย หรือที่เรียกว่า "Draw on top"
Android ที่ได้รับผลกระทบคือ ทุกเวอร์ชันก่อน Android 8.0 Oreo (CVE-2017-0752) จึงแนะนำให้ผู้ใช้อุปกรณ์ Android อัพเกรดเป็นเวอร์ชันล่าสุด 8.0 Oreo หรือดาวน์โหลดแพตซ์ได้ที่ https://source.

New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบมัลแวร์เรียกค่าไถ่หรือ Ransomware ที่มีเป้าหมายเป็น OSX ในชื่อ KeRanger โดยนักวิจัยระบุว่าพบ KeRanger Ransomware ถูกฝังมากับ Tranmission เวอร์ชั่น 2.90, 2.91 หรือโปรแกรมสำหรับโหลด BitTorrent ใน Mac ที่มีผู้ใช้จำนวนหลายล้านคนทั่วโลก, เมื่อติดตั้ง Tranmission ที่มี KeRanger ฝังอยู่ไปแล้วประมาณ 3 วัน ไฟล์ใน Harddisk ของเครื่องผู้ใช้อาทิเช่น เอกสารที่สำคัญ, รูปภาพ, ไฟล์วีดีโอ, email archives file และฐานข้อมูลต่างๆ จะถูกเข้ารหัส, KeRanger จะเรียกค่าไถ่เป็นราคา 1 Bitcoin หรือประมาณ $410 อย่างไรก็ตามทางนักวิจัยเชื่อว่าที่ Tranmission ถูก KeRanger ฝังมานั้นอาจเกิดจากเว็บไซต์ Tranmission ถูกแฮกไปแก้ไขไฟล์ dmg ที่ใช้ติดตั้ง Tranmission, สำหรับผู้ใช้ที่มีการติดตั้ง Tranmission ไว้ควรอัพเกรดไปเป็นเวอร์ชั่น 2.92 โดยเร็วที่สุด

ที่มา : thehackernews

พบมัลแวร์ KeyRaider และ ransomware ระบาดบน iOS ที่เจลเบรค

บริษัทวิจัยด้านความปลอดภัย Palo Alto Networks ได้ออกประกาศเมื่อช่วงสุดสัปดาห์ที่ผ่านมา มีการตรวจพบมัลแวร์ที่ชื่อ "KeyRider" แพร่ระบาดบนแพลตฟอร์มของ iOS โดยผู้ใช้งานที่จะได้รับผลกระทบจากการแพร่ระบาดในครั้งนี้ คือคนที่ทำการเจลเบรคอุปกรณ์สาย iOS ซึ่งมัลแวร์ตัวนี้อาจจะมีต้นทางมาจากจีน โดยทำการดักเอา Apple ID ของผู้ใช้งาน แล้วส่งกลับไปยังแฮกเกอร์ หลังจากนั้นแฮกเกอร์จะนำเอา Apple ID ไปใช้งานและมีความเป็นไปได้ที่จะแฮกเอาทั้งรหัสประจำตัวของโทรศัพท์และใบรับรองความปลอดภัยไปเพื่อเข้าถึงบริการของ Apple Pay ด้วย ซึ่งมีผู้ได้รับผลกระทบแล้วกว่า 2 แสนราย

นอกจากนั้นแล้ว ทางบริษัทยังมีการรายงานเพิ่มเติมว่ามีการตรวจพบ ransomware เพื่อบังคับให้ผู้ใช้จ่ายเงินแลกกับการได้กลับมาควบคุมโทรศัพท์เหมือนเดิมด้วย โดยคำแนะนำที่ดีที่สุดในการป้องกันจากการแพร่ระบาดของมัลแวร์และ ransomware คือการไม่เจลเบรคเครื่อง ส่วนคนที่ได้รับผลกระทบนอกจากเปลี่ยนรหัสผ่าน Apple ID และเปิดการยืนยันตัวตนสองขั้นตอน (two-factor authentication) แล้ว ยังต้องหมั่นตรวจสอบความผิดปกติในรายการซื้อสินค้าต่างๆ ผ่าน Apple ID ด้วย

ที่มา : blognone