แฮกเกอร์ประกาศขายรายการของบัญชีผู้ใช้และรหัสผ่านรวมไปถึงรายการไอพีแอดเดรสของ Pulse Secure VPN กว่า 900 รายการลงในบอร์ดใต้ดินสำหรับซื้อขายข้อมูลวันนี้ โดยอ้างอิงจากการตรวจสอบโดย ZDNet รายการข้อมูลนี้เป็นข้อมูลจริง ในเบื้องต้นเชื่อว่ารายการข้อมูลดังกล่าวมีที่มาจากการโจมตีช่องโหว่ CVE-2019-11510

ในรายการข้อมูลนี้ประกอบไปด้วย

หมายเลขไอพีแอดเดรสและโดเมนเนมของ Pulse Secure VPN
รุ่นของเฟิร์มแวร์ Pulse Secure VPN
SSH key
รายการของบัญชีผู้ใช้และแฮชของรหัสผ่านที่อยู่ใน Pulse Secure VPN
รายละเอียดบัญชีของผู้ดูแลระบบ
ข้อมูลการเข้าใช้งาน VPN รวมไปถึง username, password และ session cookie

จากการตรวจสอบโดยไอ-ซีเคียว ในรายการดังกล่าวมีข้อมูลของหน่วยงานไทยระดับกรมและกระทรวง รวมไปถึงหน่วยงานกำกับดูแลและผู้ให้บริการ MSP ชื่อดังในไทยอยู่ด้วย

ทีม Intelligent Resposne จะประสานงานกับทาง ThaiCERT เพื่อทำการแจ้งเตือนและให้คำแนะนำต่อไป

ดูคำแนะนำเพิ่มเติมเกี่ยวกับการจัดการความเสี่ยงของช่องโหว่ได้ที่: https://www.

บริษัทผู้ให้บริการรักษาความปลอดภัยบนไซเบอร์ REDTEAM.PL จากประเทศโปแลนด์ ได้เปิดเผยถึงมัลแวร์ตัวใหม่จากกลุ่มผู้พัฒนา Black Kingdom Ransomware ซึ่งทำมีเป้าหมายการโจมตีเครือข่ายขององค์กรต่างๆ ด้วยช่องโหว่จาก Pulse Secure VPN (CVE-2019-11510) ที่ยังไม่ได้ทำการเเพตซ์ความปลอดภัยบนซอฟต์แวร์ Pulse Secure VPN

Black Kingdom Ransomware ถูกพบครั้งแรกในปลายเดือนกุมภาพันธ์โดยนักวิจัยด้านความปลอดภัย GrujaRS
โดยมัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนนามสกุลของไฟล์เป็น .DEMON หลังจากเข้ารหัสไฟล์แล้วจะทิ้งโน๊ตหมายเหตุเรียกค่าไถ่การเข้ารหัสไฟล์ ซึ่งเป้นเงินจำนวน $10,000 หรือ 312,000 บาท

ข้อเเนะนำ
ผู้ใช้งานหรือผู้ดูแลระบบขององค์กรควรทำการตรวจสอบซอฟต์แวร์ Pulse Secure VPN และทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชั่นล่าสุดและควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีด้วย Ransomware

ทั้งนี้นักวิจัยได้ทำการวิเคราะห์ Black Kingdom Ransomware และ IOCs ผู้ที่สนใจสามารถเข้าไปดูได้ที่: any.

 

CISA ประกาศแจ้งเตือนภัยคุกคามพุ่งเป้าโจมตีช่องโหว่ Pulse Secure VPN (CVE-2019-11510)

Cybersecurity and Infrastructure Security Agency (CISA) ได้รับรายงานจากรัฐบาลกลางและหน่วยงานที่เกี่ยวกับเชิงพาณิชย์ของสหรัฐ เกี่ยวกับที่มีเหตุการณ์การใช้ประโยชน์จาก CVE-2019-11510 ซึ่งเป็นช่องโหว่ในการอ่านไฟล์ที่ส่งผลต่อ Pulse Secure VPN เพื่อเข้าถึงเครือข่ายเหยื่อ ถึงแม้ว่าทาง Pulse Secure จะปล่อยแพตช์สำหรับ CVE-2019-11510 ในเดือนเมษายน 2019 แล้วก็ตาม

CVE-2019-11510 เป็นช่องโหว่ในการอ่านไฟล์โดยไม่ได้รับอนุญาตที่ส่งผลต่ออุปกรณ์ Pulse Secure VPN ผู้โจมตีจากระยะไกลสามารถใช้ช่องโหว่นี้เพื่อร้องขอไฟล์โดยไม่ได้รับอนุญาตจากเซิร์ฟเวอร์ VPN ได้

ช่องโหว่ที่เกิดขึ้นจากการอนุญาติให้สำรวจพาธไดเรกทอรี dana/html5/acc จึงทำให้เข้าผู้โจมตีเข้าถึงเนื้อหาของไฟล์ได้โดยไม่ต้องขอรับอนุญาต ทำให้ผู้โจมตีสามารถค้นหาและอ่านข้อมูลไฟล์หรือข้อมูลยูสเซอร์และพาสเวิดที่อยู่บนระบบได้

CISA ขอแนะนำให้องค์กรที่ยังไม่ได้ทำการอัพเกรดแพตช์ Pulse Secure VPN ให้ทำการอัพเกรดโดยด่วน และขอแนะนำให้เปลี่ยนรหัสผ่านสำหรับบัญชี Active Directory ทั้งหมดรวมถึงบัญชีผู้ดูแลระบบในกรณีที่พบว่าถูกทำการโจมดี

ทั้งนี้ CISA ได้เผยแพร่ตัวบ่งชี้ภัยคุกคาม (IOC) และเครื่องมือช่วยผู้ดูแลเครือข่ายค้นหาและตรวจจับการใช้ประโยชน์ที่เกี่ยวข้องกับช่องโหว่ CVE-2019-11510 เพื่อเป็นประโยชน์ในการป้องกันเครือข่ายจากการโจมตี

เครื่องมือสำหรับตรวจสอบการโจมตีจาก CISA: https://github.

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

ZDNet อ้างจากแหล่งข่าวว่า APT5 (Manganese) กำลังใช้ช่องโหว่ของ Pulse Secure VPN และ Fortinet VPN ในการโจมตี โดย APT5 มีประวัติความเคลื่อนไหวมาตั้งแต่ปี 2007

จากรายงาน Southeast Asia: An Evolving Cyber Threat Landscape ของ FireEye ในช่วงปี 2015 ระบุว่า APT5 เน้นโจมตีในเอเชียตะวันออกเฉียงใต้ และมีประวัติตรวจพบมัลแวร์จากกลุ่มดังกล่าวในประเทศไทย APT5 มีเป้าหมายการโจมตีเป็นรัฐบาล ธุรกิจพลังงาน ธุรกิจโทรคมนาคม บริษัท High-Tech ธุรกิจการขนส่ง และด้านการเงิน

ช่องโหว่ CVE-2018-13379 ของ Fortinet VPN และช่องโหว่ CVE-2019-11510 ของ Pulse Secure VPN เป็นช่องโหว่ที่โจมตีได้โดยไม่ต้องยืนยันตัวตน ผู้โจมตีสามารถอ่านข้อมูลไฟล์ได้ซึ่งรวมไปถึงไฟล์ system password

ทั้งนี้มีการออกแพตช์ของช่องโหว่ในสองผลิตภัณฑ์รวมถึงการแจ้งเตือนการโจมตีแล้ว แต่ยังพบว่ามีผู้ใช้งานบางส่วนยังไม่อัปเดตแพตช์

ที่มา zdnet และ fireeye

พบแฮกเกอร์โจมตีช่องโหว่ใน Webmin, Pulse Secure VPN และ Fortinet VPN
บริษัททั่วโลกมีความเสี่ยงหลังจากแฮกเกอร์เริ่มโจมตีจากสามผลิตภัณฑ์ที่เป็นที่นิยมมาก ซึ่งทั้งสามผลิตภัณฑ์ถูกเปิดเผยรายละเอียดช่องโหว่รวมถึงโค้ดตัวอย่างสำหรับโจมตีในเดือนนี้
การโจมตีเริ่มขึ้นเมื่อช่วงต้นสัปดาห์ (24 สิงหาคม 2019) โดยผู้โจมตีมุ่งเป้าไปที่ Webmin เครื่องมือบริหารจัดการระบบ UNIX และยังรวมถึงผู้ให้บริการ VPN เช่น Pulse Secure และ FortiGate ของ Fortinet คงไม่ผิดนักถ้าจะกล่าวว่าการโจมตี Webmin, Pulse Secure และ Fortinet FortiGate นี้เป็นเรื่องที่เลวร้ายที่สุดในรอบปี
การโจมตี Webmin เกิดเมื่อมีข่าวใหญ่พบ backdoor ใน Webmin ซอร์สโค้ด หลังจากที่ผู้หวังไม่ดีทำการบุกรุกเซิฟเวอร์ของผู้พัฒนา Webmin และ backdoor อยู่มานานมากกว่าหนึ่งปีก่อนจะถูกพบ
การแสกนหาช่องโหว่นี้เริ่มหลังจากนักวิจัยความปลอดภัยได้นำเสนอที่ DEF CON งานประชุมด้านความปลอดภัย ซึ่งกล่าวถึงรายละเอียดของช่องโหว่ (ภายหลังพิสูจน์ว่าเป็น backdoor) ในเชิงลึก
ซึ่งมีผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ของ Webmin หนึ่งในนั้นคือเจ้าของ IoT botnet ชื่อ Cloudbot
แนะนำให้ผู้ดูแล Webmin ทำการอัปเดทสู่ v1.930 ที่ปล่อยออกมาเมื่อวันอาทิตย์เพื่อป้องกันระบบต่อ CVE-2019-15107 (ช่องโหว่ RCE/backdoor) เพราะจากโค้ดตัวอย่างสำหรับโจมตีที่นักวิจัยปล่อยออกมานี้ ทำให้การโจมตีง่ายและนำไปใช้โจมตีแบบอัตโนมัติได้แม้ผู้โจมตีไม่เก่ง
การโจมตี Pulse Secure และ Fortinet FortiGate VPN เริ่มจากการเปิดเผยช่องโหว่ในงานสัมมนา Black Hat ในหัวข้อที่มีชื่อว่า “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs," ที่มีรายละเอียดเกี่ยวกับช่องโหว่ความปลอดภัยในผู้ให้บริการ VPN หลายตัว
อย่างไรก็ตาม เป้าหมายการโจมตีไม่ใช่โปรดักส์ VPN ทุกตัวที่พูดคุยในงานนี้ แต่โจมตีเฉพาะ Pulse Secure VPN และ FortiGate VPN ของ Fortinet
มีความเป็นได้ไปสูงที่ผู้โจมตีจะใช้รายละเอียดเทคนิคและแนวคิดพื้นฐานจากเนื้อหาภายในบล็อกของ Devcore บริษัทที่ผู้พูดหัวข้อดังกล่าวทำงานอยู่
โดยในบล็อกมีรายละเอียดและตัวอย่างโค้ดสำหรับช่องโหว่หลายๆ ช่องโหว่ในสอง VPN ดังกล่าว อย่างไรก็ตาม ผู้โจมตีเลือกเพียงสองจากช่องโหว่เหล่านั้นที่ชื่อ CVE-2019-11510 (ส่งผลต่อ Pulse Secure) และ CVE-2018-13379 (ส่งผลต่อ FortiGate)
ทั้งสองตัวคือ "pre-authentication file reads" หมายถึงประเภทของช่องโหว่ที่อนุญาตให้แฮกเกอร์ดึงไฟล์จากระบบเป้าหมายโดยไม่ต้องพิสูจน์ตัวตน
จาก Bad Packets และนักวิจัยคนอื่นๆ บน Twitter แฮกเกอร์ได้แสกนบนอินเตอร์เน็ตเพื่อหาอุปกรณ์ที่มีช่องโหว่ และจากนั้นพวกเขาจะทำการดึงไฟล์รหัสผ่านของระบบจาก Pulse Secure VPNs และไฟล์ VPN session จาก FortiGate VPN ทำให้ผู้โจมตีล็อกอินเข้าสู่อุปกรณ์หรือทำการใช้ VPN session ปลอมได้
Bad Packets กล่าวว่า มีเกือบ 42,000 Pulse Secure VPN ที่ออนไลน์อยู่ และกว่า 14,500 ที่ยังไม่ได้อัปเดทแพตช์ ถึงแม้ว่าแพตช์จะถูกปล่อยออกมาเป็นเดือนแล้ว
จำนวน FortiGate VPNs นั้นเชื่อกันว่ามีอยู่หลายแสนผู้ใช้ แม้ว่าจะไม่มีสถิติที่แน่นอนเกี่ยวกับระบบที่ยังไม่รับการป้องกันซึ่งมีความเสี่ยงที่จะถูกโจมตี ซึ่งเจ้าของอุปกรณ์ได้ถูกแนะนำให้อัปเดทให้เร็วสุด
ผู้วิจัยความปลอดภัยจาก Bad Packets ได้ยกตัวอย่างการใช้ Pulse Secure VPNs บนเครือข่ายของ :
กองทัพสหรัฐอเมริกา, รัฐบาลกลาง, รัฐ และหน่วยงานรัฐบาลท้องถิ่น
มหาวิทยาลัยและโรงเรียนสาธารณะ
โรงพยาบาลและศูนย์บริการสุขภาพ
สถาบันการเงินหลัก
บริษัทในการจัดอันดับ Fortune 500

ที่มา: Zdnet