พบแคมเปญโจมตีพอร์ทัล Palo Alto GlobalProtect ด้วยการพยายามเข้าสู่ระบบ และแคมเปญการสแกนอุปกรณ์ SonicOS API endpoints ของ SonicWall

(more…)

พบ IP addresses บนอินเตอร์เน็ตกว่า 77,000 รายการ ที่มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Remote code execution ระดับ Critical "React2Shell" (CVE-2025-55182) โดยนักวิจัยยืนยันว่า Hacker ได้โจมตีองค์กรไปแล้วมากกว่า 30 แห่งในหลายภาคส่วน

(more…)

พบเหตุการณ์การโจมตีที่มุ่งเป้าไปยังพอร์ทัล Palo Alto Networks PAN-OS GlobalProtect โดยมี IP ที่ไม่ซ้ำกันเกือบ 24,000 รายการ ที่พยายามเข้าถึงโดยไม่ได้รับอนุญาตในช่วง 30 วันที่ผ่านมา

การโจมตีนี้ได้รับการแจ้งเตือนโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของผู้ไม่หวังดีในการตรวจสอบการป้องกันของเครือข่ายเพื่อเตรียมการโจมตีในอนาคต

GreyNoise ตรวจพบเหตุการณ์ที่เพิ่มสูงขึ้นมาตั้งแต่วันที่ 17 มีนาคม 2025 โดยสูงสุดเกือบถึง 20,000 IP ที่ไม่ซ้ำกันต่อวัน

แม้ว่าเหตุการณ์จะลดลงภายในวันที่ 26 มีนาคม แต่ก็ยังแสดงให้เห็นถึงรูปแบบที่สอดคล้องกัน โดยส่วนใหญ่ของ IP ที่ถูกตรวจสอบมีลักษณะเป็น Suspicious (23,800) และ Outright Malicious (154)

Bob Rudis รองประธานฝ่าย Data Science ของ GreyNoise ระบุว่า การโจมตีครั้งนี้สอดคล้องกับแนวโน้มในอดีตที่มักจะเกิดขึ้นหลังจากการค้นพบช่องโหว่ใหม่ ๆ

"ในช่วง 18-24 เดือนที่ผ่านมา เราได้พบการโจมตีที่มุ่งเป้าไปยังช่องโหว่เก่า ๆ ซึ่งมักจะตามมาด้วยการค้นพบช่องโหว่ใหม่ ๆ ภายในไม่กี่สัปดาห์"

องค์กรที่ใช้ผลิตภัณฑ์ของ Palo Alto Networks ถูกแนะนำให้เสริมความปลอดภัยในพอร์ทัลการเข้าสู่ระบบของตนทันที เนื่องจากผู้ไม่หวังดีอาจกำลังเตรียมการโจมตีในอนาคต

ข้อสังเกตที่สำคัญ

GreyNoise พบหลายปัจจัยที่สำคัญในการพยายามโจมตีนี้

การวิเคราะห์แหล่งที่มา และประเทศปลายทาง

ประเทศต้นทาง : ส่วนใหญ่ของการโจมตีมาจากสหรัฐอเมริกา (16,249) และแคนาดา (5,823) โดยมีเหตุการณ์เพิ่มเติมมาจากฟินแลนด์, เนเธอร์แลนด์ และรัสเซีย
ประเทศปลายทาง : ส่วนใหญ่เป้าหมายคือระบบในสหรัฐอเมริกา (23,768) ตามด้วยสหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์
เหตุการณ์ทั่วโลกนี้แสดงให้เห็นถึงการดำเนินการที่ประสานกันในหลายภูมิภาค

ผู้โจมตีที่มีส่วนร่วมหลัก และเครื่องมือที่ใช้

ผู้โจมตีที่มีส่วนร่วมหลักสามารถติดตามกลับได้ โดยมีการรับส่งข้อมูลไปยัง 3xK Tech GmbH ซึ่งรับผิดชอบ 20,010 IP ภายใต้ ASN200373

ผู้ที่มีส่วนร่วมอื่น ๆ ได้แก่ PureVoltage Hosting Inc.

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024) (more…)

Palo Alto Networks แจ้งเตือนการพบช่องโหว่ Zero-Day ความรุนแรงระดับ Critical บน Next-Generation Firewalls (NGFW) management interfaces มีหมายเลขติดตามช่องโหว่ "PAN-SA-2024-0015" โดยพบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง (more…)

เมื่อวันศุกร์ที่ผ่านมา (8 พฤศจิกายน 2024) Palo Alto Networks ได้ออกคำแนะนำเชิงข้อมูล เพื่อให้ลูกค้าตรวจสอบให้แน่ใจว่ามีการกำหนดการเข้าถึง Management interface ของ PAN-OS อย่างปลอดภัย เนื่องจากอาจมีช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)