ช่องโหว่ Kr00k กระทบอุปกรณ์จำนวนมาก

ช่องโหว่การเข้ารหัส Wi-Fi ใหม่มีผลต่ออุปกรณ์กว่าพันล้านเครื่อง นักวิจัยด้านความปลอดภัยด้านไซเบอร์ได้ค้นพบช่องโหว่ฮาร์ดแวร์ใหม่ที่มีความรุนแรงสูงซึ่งอยู่ในชิป Wi-Fi ที่ใช้กันอย่างแพร่หลายที่ผลิตโดย Broadcom และ Cypress เห็นได้ชัดว่ามีผลต่ออุปกรณ์กว่าพันล้านเครื่องรวมถึง smartphones, tablets, laptops, routers เเละอุปกรณ์ IoTมันถูกขนานนามว่า 'Kr00k' เเละได้รับรหัส CVE-2019-15126 ข้อบกพร่องนี้อาจทำให้ผู้โจมตีที่อยู่ใกล้เคียง ดักจับ และถอดรหัสแพ็คเก็ตที่ส่งผ่านทางเครือข่ายไร้สายได้โดยช่องโหว่ของอุปกรณ์
ผู้โจมตีไม่จำเป็นต้องเชื่อมต่อไปยังเครือข่ายไร้สายของเหยื่อ โดยสามารถใช้ได้กับ protocol ทั้ง WPA2-Personal และ WPA2-Enterprise ที่ใช้การเข้ารหัสแบบ AES-CCMP
ข้อบกพร่องของ Kr00k นั้นค่อนข้างเกี่ยวข้องกับการโจมตี KRACK ซึ่งเป็นเทคนิคที่ทำให้ผู้โจมตีแฮกรหัสผ่าน Wi-Fi ได้ง่ายขึ้น โดยใช้โปรโตคอลเครือข่าย WPA2 ที่ใช้กันอย่างแพร่หลาย
สิ่งที่ควรทราบเกี่ยวกับ Kr00k

ช่องโหว่ Kr00k ไม่ได้อยู่ในโปรโตคอลการเข้ารหัส Wi-Fi แต่อยู่ในวิธีที่ชิป Wi-Fi นำวิธีการเข้ารหัสนั้นมาประยุกต์ใช้
ช่องโหว่ Kr00k ไม่ใช่ช่องโหว่ที่ผู้โจมตีสามารถเชื่อมต่อกับเครือข่าย Wi-Fi และโจมตีแบบ man-in-the-middle
ช่องโหว่ Kr00k ทำให้ให้ผู้โจมตีทราบรหัสผ่าน Wi-Fi ของคุณ และการเปลี่ยนมันไม่ได้ช่วยให้คุณแก้ไขปัญหาได้
ช่องโหว่ Kr00k ไม่ส่งผลกระทบต่ออุปกรณ์สมัยใหม่ที่ใช้โปรโตคอล WPA3 (มาตรฐานความปลอดภัย Wi-Fi ล่าสุด)
ช่องโหว่ Kr00k ไม่กระทบการเข้ารหัส TLS เมื่อเข้าชมเว็บไซต์ที่ใช้ HTTP
ช่องโหว่ Kr00k ลดระดับความปลอดภัยของคุณไปอีกขั้นหนึ่ง โดยผู้โจมตีจะสามารถดักจับข้อมูลได้หากมีการใช้งาน network traffic ที่ไม่ได้มีการเข้ารหัสใน layer ต่อไป เช่น เข้าชมเว็บที่ไม่ได้ใช้ HTTPS
การโจมตีตั้งอยู่บนพื้นฐานที่ว่าเมื่ออุปกรณ์ถูกตัดการเชื่อมต่อจากเครือข่าย wireless ชิป Wi-Fi จะล้าง session key ในหน่วยความจำและตั้งค่าเป็นศูนย์ แต่ข้อผิดพลาดเกิดเมื่อชิปจะส่งเฟรมข้อมูลทั้งหมดที่เหลืออยู่ในบัฟเฟอร์โดยไม่ได้ตั้งใจด้วยคีย์เข้ารหัสที่เป็นศูนย์ทั้งหมดแม้หลังจากการยกเลิกการเชื่อมต่อเเล้ว ดังนั้นผู้โจมตีในบริเวณใกล้เคียงกับอุปกรณ์ที่มีช่องโหว่สามารถใช้ข้อบกพร่องนี้
นักวิจัย ESET รายงานปัญหานี้ ไปยังผู้ผลิตชิป Broadcom เเละ Cypress ที่ได้รับผลกระทบแล้วตั้งแต่เมื่อปีที่แล้วรวมถึงผู้ผลิตอุปกรณ์หลายรายที่ได้รับผลกระทบ ซึ่งผู้ผลิตเหล่านี้ต้องรับผิดชอบออกซอฟต์แวร์หรือเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้

ที่มา : thehackernews

 

โค้ดที่ใช้ในมัลแวร์ Mirai หรือที่ชื่อว่า Satori ซึ่งถูกนำมาใช้โจมตี Routers ของ Huawei กว่าร้อยเครื่องในช่วงหลายสัปดาห์ที่ผ่านมาได้ถูกเผยแพร่ออกสู่สาธารณะ สร้างความกังวลว่าภัยคุกคามสำหรับอุปกรณ์ IoT จะเพิ่มจำนวนและทวีความรุนแรงมากยิ่งขึ้น

Ankit Anubhav นักวิจัยด้านความปลอดภัยจาก NewSky Security ได้ตรวจพบโค้ดสำหรับโจมตีช่องโหว่แบบ zero-day กับอุปกรณ์ Huawei รหัส CVE-2017-17215 ซึ่งโค้ดดังกล่าวเคยถูกใช้โดยแฮกเกอร์ที่มีนามแฝงว่า Nexus Zeta เพื่อแพร่กระจายมัลแวร์ Mirai ตระกูล Satori ซึ่งส่งผลให้ใครก็ตามที่ค้นหาโค้ดดังกล่าวเจอก็ครอบครองเครื่องมือในการโจมตีอุปกรณ์ได้ทันที

ช่องโหว่ CVE-2017-17215 เป็นช่องโหว่ที่พุ่งโจมตีเราท์เตอร์ของ Huawei ที่มีการใช้งาน Universal Plug-n-Play (UPnP) ที่มีการใช้งาน TR-064 ซึ่งเปิดให้เข้าถึงได้จากอินเตอร์เน็ตที่พอร์ต 37215 ผลของการโจมตีทำให้ผู้โจมตีสามารถรันโค้ดใดๆ บนอุปกรณ์ดังกล่าวได้

คำแนะนำในการป้องกันคือการตรวจสอบการอัปเดตเฟิร์มแวร์เพื่อแพตช์ช่องโหว่ ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ทางหนึ่งที่เป็นไปได้คือการตั้งค่าใช้งานไฟร์วอลล์ทีพอร์ตดังกล่าวและไม่ใช้รหัสผ่านที่เป็นค่าเริ่มต้นของอุปกรณ์ในการตั้งค่าอุปกรณ์

ที่มา : Threatpost

นักวิจัยด้านความปลอดภัยจาก CheckPoint ได้ค้นพบมัลแวร์ตัวใหม่ชื่อ IoTroop เมื่อเดือนกันยายน และพบว่า 60% อุปกรณ์ Network มีช่องโหว่

IoTroop มีเป้าหมายเชื่อมต่อกับอุปกรณ์ที่ไม่ได้รับการป้องกัน เช่น Routers และ Wireless IP Cameras ที่ผลิตโดย D-Link, TP-Link, Avtech, Netgear, MikroTik, Linksys, Synology และ GoAhead มัลแวร์จะแพร่กระจายไปยังอุปกรณ์ IoT ที่เข้าถึงได้จาก Default Password และ Usernames จากนั้นทำการเปลี่ยนให้อุปกรณ์ IoT กลายเป็น Botnet และโจมตี Distributed Denial of Service (DDoS) มีองค์กรต่างๆ ทั่วโลกกว่าล้านแห่งที่ได้รับผลกระทบและยังคงเพิ่มสูงขึ้น

มัลแวร์ IoTroop มีความคล้ายคลึงกับ Mirai แต่มีความแตกต่างระหว่างมัลแวร์ตัวนี้กับ Mirai คือมีความซับซ้อนมากขึ้นและใช้ช่องโหว่มากกว่าสิบรายการเข้าควบคุมอุปกรณ์ ในกรณี Wireless IP Camera ของ GoAhead ผู้บุกรุกใช้ช่องโหว่การ Bypass Authentication (CVE-2017-8225) ซึ่งมีผลกระทบมากกว่า 1,250 รุ่น สำหรับอุปกรณ์อื่นๆ เช่น Linksys RangePlus WRT110 Wireless Router ถูกโจมตีผ่านช่องโหว่ Remote command execution ช่องโหว่นี้มีอยู่เพราะ router’s web interface ไม่สามารถ sanitize ping เป้าหมายและขาดการป้องกันการปลอมแปลง Tokens ผู้ที่อยู่เบื้องหลังมีการระบุเซิร์ฟเวอร์คำสั่ง ควบคุมและมีการอัพเดตกลุ่มที่อยู่ไอพีสำหรับเข้าโจมตี

ยังไม่ทราบแน่ชัดว่าใครเป็นผู้อยู่เบื้องหลัง malware/botnet แฮกเกอร์มีเป้าหมายที่ใด และมีระยะเวลาในการโจมตีนานเท่าใด

ที่มา : threatpost

Netgear ออก Patch 50 รายการสำหรับ Routers, Switches, NAS, และ Wireless Access Points แก้ไขช่องโหว่ Remote Code Execution ไปจนถึง Authentication Bypass โดย 20 รายการแก้ไขช่องโหว่ที่มีความเสี่ยงระดับ High และอีก 30 รายการแก้ไขช่องโหว่ที่ความเสี่ยงอยู่ระดับ Medium

ช่องโหว่ส่วนมากถูกค้นพบโดย Netgear เอง และทาง Netgear ยังได้ให้เครดิตกับผู้ค้นพบช่องโหว่อื่น ๆ อย่าง Network security ของ Beyond Security สำหรับช่องโหว่ command injection ใน ReadyNAS Surveillance Application ที่รันในเวอร์ชั่นก่อน 1.4.3-17 (x86) และ 1.1.4-7 (ARM). สามารถ Execute arbitrary commands บนระบบปฏิบัติการผ่านช่องโหว่ของแอพพลิเคชั่น ซึ่งส่วนมากช่องโหว่ที่พบเกิดจากไม่มีการตรวจสอบ input user และการรับรองสิทธิ์ในการเข้าถึง web interface และคาดว่า Products Netgear ใช้ Codebase และ โครงสร้าง Code เดียวกัน ส่งผลให้หลายๆ Product มีช่องโหว่, Martin Rakhmanov จาก Trustwave สำหรับช่องโหว่ที่มีความรุนแรงระดับสูง PSV-2017-1209 เป็นช่องโหว่ที่ทำให้สามารถควบคุม router ได้อย่างสมบูรณ์, Maxime Peterlin ของ ON-X Security สำหรับช่องโหว่ Remote Code Execution ใน WNR2000v5 routers,

สำหรับผู้ใช้Netgear สามารถตรวจสอบช่องโหว่ของผลิตภัณฑ์ และ Patch ได้ที่ http://www.

เมื่อช่วงปลายเดือน กรกฎาคม ที่ผ่านมาผู้ใช้บริการ Internet ของ Bharat Sanchar Nigam (BSNL) และ Mahanagar Telephone Nigam Limited (MTNL) จำนวนมากในอินเดียไม่สามารถใช้บริการ Internet ได้ เนื่องจากโมเด็มและเราเตอร์กว่า 60,000 เครื่องถูกโจมตีด้วยมัลแวร์ BrickerBot

BrickerBot เป็นสายพันธุ์มัลแวร์ที่ใช้ในการโจมตีอุปกรณ์ IoT และอุปกรณ์ Network ที่ใช้ Linux โดยโมเด็มที่ติดไวรัสมัลแวร์ BrickerBot เป็นโมเด็มที่ใช้รหัสผ่านเริ่มต้น (admin / admin) ซึ่งหลังจากเหตุการณ์ดังกล่าวทาง MTNL และ BSNL ได้ทำการแจ้งให้ผู้ใช้จำนวนกว่า 2,000 รายเปลี่ยนรหัสผ่านของอุปกรณ์ใหม่ ซึ่งจะแตกต่างจากมัลแวร์อื่น ๆ ที่ทำการยึดอุปกรณ์ไว้ใช้สำหรับเป็น botnet ในการโจมตี DDoS และวัตถุประสงค์อื่น ๆ

Recommendation :
- เปลี่ยนรหัสผ่านของอุปกรณ์ที่ตั้งค่ามาจากโรงงานผลิตให้มีความมั่นคงปลอดภัยสูงขึ้น
- ปิด Service Telnet , SSH ไม่ให้สามารถเข้าถึงได้จากภายนอก
- ทำการ update patch ของอุปกรณ์ให้เป็นเวอร์ชั่นล่าสุด

ที่มา : BLEEPINGCOMPUTER