Attackers are exploiting zero-day in Pulse Secure VPNs to breach orgs (CVE-2021-22893)

พบช่องโหว่ความรุนแรงสูงสุดในอุปกรณ์ Pulse Connect Secure (PCS) ถูกใช้โดยกลุ่มผู้ไม่หวังดีในการโจมตี

ล่าสุดมีการพบช่องโหว่ 0-day (CVE-2021-22893) ที่มีคะแนน CVSS เต็ม 10 ในอุปกรณ์ Pulse Connect Secure (PCS) ตั้งแต่เวอร์ชั่น 9.0R3 และใหม่กว่านั้น ส่งผลให้ผู้ไม่หวังดีสามารถสั่งรันคำสั่งอันตรายจากระยะไกลได้ (RCE) โดยไม่ต้องพิสูจน์ตัวตน (Unauthenticated) ทำให้สามารถแก้ไข File System และวาง Backdoor บนอุปกรณ์ได้ รายงานจาก FireEye ระบุว่าช่องโหว่ดังกล่าวได้ถูกใช้โจมตีโดยกลุ่มผู้ไม่หวังดีแล้ว ตั้งแต่ช่วงสิงหาคม 2020 จนถึงช่วงมีนาคมที่ผ่านมา นอกจากนี้ยังพบว่ามีการใช้ช่องโหว่เก่าอื่นๆ ในการโจมตีด้วย ได้แก่ CVE-2019-11510, CVE-2020-8243 และ CVE-2020-8260

ณ ปัจจุบันยังไม่มีการเปิดเผยรายละเอียดของช่องโหว่ และยังไม่มีแพทช์สำหรับแก้ไขช่องโหว่ดังกล่าวออกมา มีเพียง work around สำหรับแก้ไขปัญหาที่ถูกประกาศออกมาจาก Pulse Secure เท่านั้น โดยเป็นการดาวน์โหลดไฟล์ XML แล้วนำไป import เข้าในระบบ เพื่อ disable ความสามารถในส่วนของ Windows File Share Browser และ Pulse Collaboration ตามรายงานระบุว่าจะมีการออกแพทช์สำหรับแก้ไขปัญหาดังกล่าวออกมาในช่วงต้นเดือนพฤษภาคม

นอกจากนี้ยังมีการปล่อยเครื่องมือที่ชื่อว่า "Pulse Connect Secure Integrity Tool" สำหรับให้ผู้ดูแลระบบใช้ในการตรวจสอบอุปกรณ์ของตัวเองว่าถูกเพิ่มไฟล์น่าสงสัยในระบบ หรือถูกแก้ไข file system หรือไม่ ในขณะเดียวกัน CISA ของสหรัฐอเมริกา ก็ได้มีการออกรายงานแจ้งเตือนหน่วยงานที่เกี่ยวข้อง พร้อมทั้งเปิดเผยรายการของไฟล์ในระบบที่เชื่อว่าถูกแก้ไข และคำสั่งที่ถูกรันผ่าน webshell โดยผู้ไม่หวังดี

ที่มา: helpnetsecurity

Supermicro และ Pulse Secure ออกอัปเดตเฟิร์มแวร์ใหม่เพื่อป้องกันการโจมตีจากมัลแวร์ TrickBot

Supermicro และ Pulse Secure ได้ออกคำแนะนำและเตือนภัยถึงเมนบอร์ดบางตัวที่มีความเสี่ยงต่อการถูกโจมตีของมัลแวร์ TrickBot หรือที่เรียกว่า TrickBoot ด้วยความสามารถใหม่ที่มีโมดูลการเเพร่กระจายมัลแวร์บนเฟิร์มแวร์ UEFI

เมื่อปีที่แล้วบริษัทรักษาความปลอดภัยทางไซเบอร์ Advanced Intelligence และ Eclypsium ได้เปิดเผยถึงรายงานการค้นพบเกี่ยวกับโมดูลใหม่ในมัลแวร์ TrickBoot ที่มุ่งเป้าการเเพร่กระจายมัลแวร์ไปที่ยังเฟิร์มแวร์ UEFI ของอุปกรณ์ ซึ่งภายในมัลแวร์จะมีฟังก์ชันในการอ่าน, เขียนและลบเฟิร์มแวร์ ซึ่งมัลแวร์ยังสามารถปิดการควบคุมความปลอดภัยของระบบปฏิบัติการหรือปิดการติดตั้งระบบปฏิบัติการใหม่จากผู้ใช้ได้

ในคำแนะนำของ Supermicro ซึ่งได้ระบุว่าเมนบอร์ดตะกูล X10 UP-series บางตัวมีความเสี่ยงต่อ การโจมตีมัลแวร์ TrickBoot โดยเมนบอร์ด X10 UP-series รุ่นที่มีความเสี่ยงมีดังนี้

X10SLH-F ( EOL วันที่ 3/11/2021)
X10SLL-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLM + -LN4F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLA-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SL7-F (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)
X10SLL-S / -SF (EOL ไปแล้วตั้งแต่ 30 มิถุนายน 2015)

ทั้งนี้ Supermicro ได้เปิดตัว BIOS เวอร์ชัน 3.4 เพื่อแก้ไขช่องโหว่แล้วแต่สามารถใช้ได้สำหรับเมนบอร์ด X10SLH-F เท่านั้น ซึ่งสำหรับเมนบอร์ดที่หมดอายุการซัพพอร์ตผู้ใช้ต้องติดต่อ Supermicro เพื่อขอการใช้งาน BIOS เวอร์ชันใหม่

สำหรับ Pulse Secure ได้ออกคำแนะนำสำหรับอุปกรณ์ Pulse Secure Appliance 5000 (PSA-5000) และ Pulse Secure Appliance 7000 (PSA-7000) ที่ทำงานบนฮาร์ดแวร์ Supermicro ที่มีช่องโหว่ โดย Pulse Secure ได้เปิดตัวแพตช์ BIOS สำหรับอุปกรณ์ Pulse Connect Secure หรือ Pulse Policy Secure ซึ่ง Pulse Secure ได้เตือนถึงแพตช์อัปเดต BIOS จะต้องรีบูตอุปกรณ์ด้วยเมื่อทำการอัปเดตเสร็จ ผู้ใช้ควรทำการอัปเดตแพตช์ BIOS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการถูกโจมตีจาก TrickBoot

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

กลุ่มแฮกเกอร์รัสเซียกำหนดเป้าหมายมุ่งโจมตีสถาบันพัฒนาวัคซีนต้านไวรัส COVID-19 ด้วยมัลแวร์

ศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร หรือ National Cyber Security Centre (NCSC) ได้เปิดเผยถึงรายละเอียดของกลุ่มเเฮกเกอร์รัสเซียซึ่งได้ทำการโจมตีองค์กรที่เกี่ยวข้องในการวิจัยและพัฒนาวัคซีนต่อต้าน Coronavirus หรือ COVID-19 ซึ่งกิจกรรมการโจมตีดังกล่าวกำลังถูกดำเนินการด้วยกลุ่มภัยคุกคาม APT29

รายงานดังกล่าวประกอบด้วยข้อมูลจากหลายแหล่งซึ่งเป็นความพยายามร่วมมือกันของศูนย์รักษาความปลอดภัยไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC), สำนักงานความมั่นคงด้านการสื่อสารของแคนาดา (CSE), สำนักงานความมั่นคงแห่งชาติสหรัฐอเมริกา (NSA) และ หน่วยงานด้านความมั่นคงปลอดภัยและโครงสร้างพื้นฐานทางไซเบอร์ (CISA ) โดยรายละเอียดของรายงานพบว่ากลุ่ม Cozy Bear นั้นพยายามทำการ Spear Phishing รวมไปถึงการใช้ประโยชน์จากช่องโหว่ Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510), Fortigate (CVE-2019-13379) และ Zimbra Collaboration Suite (CVE-2019-9670)

รายงานยังกล่าวอีกว่าหลังจากกลุ่มเเฮกเกอร์สามารถเข้าถึงเครือข่ายภายในองค์กรที่ตกเป็นเหยื่อแล้วพวกเขาจะทำการดาวน์โหลดและติดตั้งมัลแวร์ SoreFang, WellMess และ WellMail

ผู้ดูแลระบบควรทำการรีบอัพเดตเเพตซ์การเเก้ไขช่องโหว่ที่กล่าวมาข้างต้นเพื่อป้องกันการโจมตีและการหาประโยชน์จากช่องโหว่ โดยกลุ่มผู้ประสงค์ร้ายต่างๆ ทั้งนี้ผู้ที่สนใจ IOCs ของมัลแวร์ข้างต้นสามารถเข้าไปดูรายละเอียดได้ที่: ncsc.

Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.

ศูนย์ดูแลด้านความปลอดภัยทางไซเบอร์ (NCSC) ของอังกฤษ เตือนการโจมตีผ่านช่องโหว่ของอุปกรณ์ VPN

 

National Cyber Security Centre (NCSC) ของอังกฤษ เตือนให้ระวังการโจมตีผ่านช่องโหว่ที่มีการเปิดเผยของอุปกรณ์ VPN ต่างๆ โดยการใช้เทนนิคที่ซับซ้อน (Advanced Persistent Threat หรือ APT) เช่น Fortinet, Palo Alto Networks และ Pulse Secure ในการโจมตีพบการกระทำนี้เกิดขึ้นอย่างต่อเนื่อง มีเป้าหมายทั้งในอังกฤษและองค์กรระหว่างประเทศ ครอบคลุมทั้งภาครัฐ กองทัพ สถานบันการศึกษา ภาคธุรกิจและทางการแพทย์

การรายงานกล่าวถึงกลุ่มผู้โจมตีเหล่านี้มีการใช้ช่องโหว่หลายรายการ ประกอบด้วย CVE-2019-11510 (ทำให้สามารถอ่านไฟล์สำคัญโดยไม่ได้รับอนุญาต) และ CVE-2019-11539 ใน Pulse Secure VPN solutions และ CVE-2018-13379 โดย CVE-2018-13379 คือเป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึง Directory อื่นๆ นอกเหนือจากที่ถูกจำกัดให้เข้าถึงได้ (Path Traversal) บน Web Portal ของ FortiOS SSL VPN ส่งผลให้สามารถดาวน์โหลด FortiOS system files และสามารถโจมตีเพื่อขโมย credential ของบัญชี administrator ในรูปแบบที่ไม่ถูกเข้ารหัสได้ และยังมีการใช้ CVE-2018-13382, CVE-2018-13383, และ CVE-2019-1579, ในผลิตภัณฑ์ Palo Alto Networks อีกด้วย

ผู้ใช้ผลิตภัณฑ์ VPN เหล่านี้ควรจะต้องมีการตรวจสอบ logs เพื่อหาหลักฐานการบุกรุกนี้ เช่น การเรียกจาก IP Address ที่ผิดปกติ หากว่ายังไม่สามารถติดตั้งแพทช์เพื่อแก้ไข

ที่มา : securityaffairs