นักวิจัยพบ 3 ช่องโหว่ใหม่บน Microsoft Azure API Management Service

นักวิจัยจาก Ermetic บริษัทรักษาความปลอดภัยบนคลาวด์ของอิสราเอล เปิดเผยช่องโหว่ด้านความปลอดภัยใหม่ 3 รายการในบริการ Microsoft Azure API Management ที่เสี่ยงต่อการถูกนำไปไปใช้ในการโจมตีเพื่อเข้าถึงข้อมูลที่มีความสำคัญ จาก backend service (more…)

พบช่องโหว่ RCE ระดับ Critical บน EmojiDeploy ทำให้สามารถโจมตี Microsoft Azure ได้

นักวิจัยด้าน Ermetic บริษัทรักษาความปลอดภัยโครงสร้างพื้นฐานบนระบบคลาวด์ของอิสราเอล พบช่องโหว่ระดับ Critical บน Microsoft Azure ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution (RCE)) เพื่อเข้าควบคุมแอปพลิเคชันเป้าหมายได้

โดย Ermetic อธิบายช่องโหว่นี้ว่าเกิดจาก CSRF (cross-site request forgery) บน Kudu ซึ่งเป็นบริการ SCM ที่ใช้อย่างแพร่หลาย แล้วทำการส่งไฟล์ ZIP ที่ฝังเพย์โหลดอันตรายไปยังแอปพลิเคชัน Azure ของเป้าหมาย โดยได้เรียกวิธีการโจมตีนี้ว่า EmojiDeploy

Kudu คือเครื่องมือที่อยู่เบื้องหลังการทำงานของ Azure App Service ที่เกี่ยวข้องกับ source control based deployment เช่นเดียวกับ Dropbox และ OneDrive sync

การโจมตี

นักวิจัยได้อธิบายขั้นตอนการโจมตี ดังนี้

Hacker โจมตีผ่านช่องโหว่ CSRF ใน Kudu SCM panel ทำให้สามารถหลีกเลี่ยงการป้องกันและส่ง request ที่สร้างขึ้นเป็นพิเศษไปที่ "/api/zipdeploy" เพื่อส่งไฟล์ ZIP ที่เป็นอันตราย เช่น web shell และทำให้สามารถเข้าควบคุมระบบจากระยะไกลได้
ไฟล์ ZIP ที่เป็นอันตรายจะถูก encoded ในส่วนของ body ของ HTTP request เมื่อถูกเปิดขึ้นมา มันจะเรียกไปยังโดเมนที่ถูกควบคุมโดย Hacker ผ่าน web shell เพื่อหลบเลี่ยงการตรวจสอบ

การค้นพบนี้เกิดขึ้นหลังจาก Orca Security ได้เปิดเผยการโจมตี 4 ครั้งของการโจมตี server-side request forgery (SSRF) ที่ส่งผลกระทบต่อ Azure API Management, Azure Functions, Azure Machine Learning และ Azure Digital Twins หลังจากนั้น Microsoft ได้แก้ไขช่องโหว่ในวันที่ 6 ธันวาคม 2022 หลังจากการเปิดเผยช่องโหว่เมื่อวันที่ 26 ตุลาคม 2022 นอกจากนี้ Microsoft ยังได้มอบรางวัลให้แก่การรายงานช่องโหว่นี้เป็นมูลค่า 30,000 ดอลลาร์

การป้องกัน

ตรวจสอบการอนุญาตของแอปพลิเคชั่น และการกำหนดสิทธิในส่วนของการจัดการข้อมูลประจำตัว
จำกัดสิทธิ์การเข้าถึงให้น้อยที่สุดเพื่อความปลอดภัย

ที่มา : thehackernews

VMware ออกแพตช์แก้ไขช่องโหว่ที่ถูกพบใน vRealize Operations

VMware ออกแพตช์แก้ไขช่องโหว่ที่สำคัญ 2 รายการในแพลตฟอร์ม IT operations management อย่าง vRealize Operations ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถขโมยข้อมูล Administrative credentials ได้ โดยทั้ง 2 ช่องโหว่ถูกค้นพบโดย Egor Dimitrenko จาก Positive Technologies

ช่องโหว่เเรกเป็น CVE-2021-21975 มีคะแนนความรุนเเรงอยู่ที่ CVSS 8.6/10 โดยช่องโหว่ถูกพบใน vRealize Operations Manager API ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถใช้เทคนิค Server-side request forgery (SSRF) เพื่อเข้าถึงการทำงานของเซิร์ฟเวอร์หรือเข้าถึงการจัดการข้อมูลที่ผู้โจมตีจะไม่สามารถเข้าถึงได้โดยตรงจากระยะไกล

ช่องโหว่ที่สองเป็น CVE-2021-21983 มีคะแนนความรุนเเรงอยู่ที่ CVSSv3 7.2/10 เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่การเขียนไฟล์โดยไม่ได้รับอนุญาตใน VROps Manager API ที่สามารถใช้เพื่อเขียนไฟล์ไปยังระบบปฏิบัติการได้

ทั้งนี้ช่องโหว่ทั้ง 2 รายการ ผู้โจมตีจะต้องมี administrative credentials ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้ อย่างไรก็ตาม VMware ได้ออกเเพตช์สำหรับแก้ไขช่องโหว่ทั้ง 2 แล้วใน vROps Manager เวอร์ชัน 7.5.0 ถึง 8.3.0 ผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันดังกล่าวเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: databreachtoday

Microsoft ออกแพตช์ฉุกเฉินเพื่อเเก้ไขช่องโหว่ Zero-day สำหรับ Microsoft Exchange ผู้ดูแลระบบควรอัปเดตเเพตช์ด่วน!

Microsoft ได้ออกแพตช์อัปเดตการรักษาความปลอดภัยเป็นกรณีฉุกเฉินสำหรับ Microsoft Exchange เพื่อแก้ไขช่องโหว่ Zero-day 4 รายการที่สามารถใช้ประโยชน์ในการโจมตีแบบกำหนดเป้าหมาย หลัง Microsoft พบกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากประเทศจีนที่มีชื่อว่า “Hafnium" ใช้ช่องโหว่ Zero-day เหล่านี้ทำการโจมตีองค์กรและบริษัทหลาย ๆ เเห่ง ในสหรัฐอเมริกาเพื่อขโมยข้อมูล

กลุ่ม Hafnium เป็นกลุ่ม APT ที่มีความเชื่อมโยงและได้รับการสนับสนุนจากจีน มีเป้าหมายคือหน่วยงานในสหรัฐอเมริกาเป็นหลัก และในหลาย ๆ อุตสาหกรรม รวมไปถึงองค์กรที่ทำการวิจัยโรคติดเชื้อ, สำนักงานกฎหมาย, สถาบันการศึกษาระดับสูง, ผู้รับเหมาด้านการป้องกันประเทศ, องค์กรกำหนดนโยบายและองค์กรพัฒนาเอกชน สำหรับเทคนิคการโจมตีของกลุ่ม Hafnium ใช้ประโยชน์จากช่องโหว่ Zero-day ใน Microsoft Exchange มีดังนี้

CVE-2021-26855 (CVSSv3: 9.1/10 ) เป็นช่องโหว่ Server-Side Request Forgery (SSRF) ใน Microsoft Exchange โดยช่องโหว่จะทำให้ผู้โจมตีที่ส่ง HTTP request ที่ต้องการ ไปยังเซิฟเวอร์สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ได้
CVE-2021-26857 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ insecure deserialization ในเซอร์วิส Unified Messaging deserialization โดยช่องโหว่ทำให้ข้อมูลที่ไม่ปลอดภัยบางส่วนที่สามารถถูกควบคุมได้ ถูก deserialized โดยโปรแกรม ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการรันโค้ดเพื่อรับสิทธ์เป็น SYSTEM บนเซิร์ฟเวอร์ Microsoft Exchange
CVE-2021-26858 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write หรือช่องโหว่ที่สามารถเขียนไฟล์โดยไม่ได้รับอนุญาตหลังจากพิสูจน์ตัวตนแล้ว (Authenticated) บนเซิร์ฟเวอร์ Exchange ซึ่งผู้โจมตีที่สามารถใช้ประโยชน์จากช่องโหว่ CVE-2021-26855 (SSRF) ได้จะสามารถเข้าสู่ระบบได้ผ่านการ Bypass Credential ของผู้ดูแลระบบที่ถูกต้อง
CVE-2021-27065 (CVSSv3: 7.8/10 ) เป็นช่องโหว่ Arbitrary file write ที่มีหลักการทำงานคล้าย ๆ กับ CVE-2021-26858

หลังจากที่สามารถเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว กลุ่ม Hafnium จะทำการติดตั้ง Webshell ซึ่งถูกเขียนด้วย ASP และจะถูกใช้เป็น backdoor สำหรับทำการขโมยข้อมูลและอัปโหลดไฟล์หรือดำเนินการใด ๆ ตามคำสั่งของกลุ่มบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งหลังจากติดตั้ง Webshell เสร็จแล้ว กลุ่ม Hafnium ได้มีการดำเนินการด้วยเครื่องมือ Opensource ต่าง ๆ โดยมีขั้นตอนดังนี้

จะใช้ซอฟต์แวร์ Procdump เพื่อทำการ Dump โปรเซส LSASS
จากนั้นจะทำการใช้ซอฟต์แวร์ 7-Zip เพื่อบีบอัดข้อมูลที่ทำการขโมยลงในไฟล์ ZIP สำหรับ exfiltration
ทำการเพิ่มและใช้ Exchange PowerShell snap-ins เพื่อนำข้อมูล mailbox ออกมา
จากนั้นปรับใช้ซอฟต์แวร์เครื่องมือที่ชื่อว่า Nishang ทำ Invoke-PowerShellTcpOneLine เพื่อสร้าง reverse shell
จากนั้นใช้เครื่องมือชื่อว่า PowerCat เพื่อเปิดการเชื่อมต่อกับเซิร์ฟเวอร์ของกลุ่ม

การตรวจสอบว่าเซิร์ฟเวอร์ Microsoft Exchange ถูกบุกรุกหรือไม่

สำหรับการตรวจสอบและการป้องกันภัยคุกคามโดยการวิเคราะห์พฤติกรรมที่น่าสงสัยและเป็นอันตรายบนเซิร์ฟเวอร์ Exchange พบว่าเมื่อใดก็ตามที่ผู้โจมตีทำการติดต่อกับ Webshell และรันคำสั่งจะมี Process chain, เซอร์วิส และพาทที่มีการใช้งาน โดยโปรเซสที่น่าสงสัยและมักถูกผู้โจมตีเรียกใช้ด้วยเทคนิค living-off-the-land binaries (LOLBins) คือ net.

FireEye แจ้งเตือนกลุ่มแฮกเกอร์โจมตีช่องโหว่ Zero day ใน Accellion FTA ขโมยข้อมูลไปเรียกค่าไถ่

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

An SSRF flaw in Maximo Asset Management could be used to target corporate networks

IBM เเก้ไขช่องโหว่ SSRF ใน Maximo Asset Management ที่จะช่วยให้สามารถโจมตีเครือข่ายขององค์กรได้

IBM ได้เปิดเผยถึงการเเก้ไขช่องโหว่ที่มีความรุนเเรงสูงใน Maximo Asset Management โดยถูกติดตามด้วยรหัส CVE-2020-4529 ซึ่งช่องโหว่จะทำให้ผู้โจมตีสามารถเข้าโจมตีเครือข่ายภายในองค์กรได้

IBM ได้รับการรายงานช่องโหว่โดย Andrey Medov และ Arseniy Sharoglazov จาก Positive Technologies ซึ่งอธิบายว่าช่องโหว่ CVE-2020-4529 (CVSS: 7.3) เป็นช่องโหว่ Server Side Request Forgery (SSRF) ช่องโหว่อาจทำให้ผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์ทำการร้องขอคำสั่งจากระบบซึ่งอาจนำไปสู่การโจมตีอื่นๆ ในระบบเครือข่ายได้

ช่องโหว่นี้มีผลกระทบกับ Maximo Asset Management เวอร์ชั่น 7.6.0 และ 7.6.1

IBM ได้ออกเเพตซ์การเเก้ไขช่องโหว่ใน IBM Maximo เวอร์ชัน 7.6.0.4 ผู้ใช้งานและผู้ดูแลระบบควรทำการอัพเดตและทำการติดตั้งให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบเครือข่ายภายใน

ที่มา: securityaffairs