MITRE ยืนยันเหตุการณ์การถูกโจมตีผ่านช่องโหว่ Ivanti zero-days

MITRE Corporation ยืนยันว่าพบเหตุการณ์ที่คาดว่ามาจากกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ ได้โจมตีระบบระบบของพวกเขาในเดือนมกราคม 2024 ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

เหตุการณ์ดังกล่าวถูกพบภายหลังจากการตรวจสอบพฤติกรรมที่น่าสงสัยใน Networked Experimentation, Research and Virtualization Environment (NERVE) ของ MITRE ซึ่งเป็นเครือข่ายความร่วมมือที่ไม่ได้ถูกจัดแบ่งประเภท ซึ่งใช้สำหรับการวิจัย และพัฒนา

MITRE ได้แจ้งฝ่ายที่ได้รับผลกระทบเกี่ยวกับการโจมตีดังกล่าว ทำการติดต่อหน่วยงานที่เกี่ยวข้อง และขณะนี้กำลังดำเนินการฟื้นฟูการทำงานของระบบ

หลักฐานที่รวบรวมได้ระหว่างการสอบสวนจนถึงตอนนี้แสดงให้เห็นว่าการโจมตีครั้งนี้ไม่ส่งผลกระทบต่อระบบเครือข่ายหลักขององค์กร หรือระบบของพันธมิตร

Jason Providakes ซีอีโอของ MITRE ระบุเมื่อวันศุกร์ที่ผ่านมาว่า “ไม่มีองค์กรใดสามารถรอดพ้นจากการโจมตีทางไซเบอร์ลักษณะนี้ ไม่แม้แต่องค์กรที่พยายามรักษาความปลอดภัยทางไซเบอร์ให้สูงที่สุดเท่าที่จะเป็นไปได้”

"MITRE จะเปิดเผยรายละเอียดของเหตุการณ์นี้ในช่วงเวลาที่เหมาะสม เนื่องจากความมุ่งมั่นที่จะดำเนินงานเพื่อประโยชน์สาธารณะ และเพื่อสนับสนุนแนวทางปฏิบัติที่ดีที่สุดที่ยกระดับความปลอดภัยขององค์กร ตลอดจนมาตรการที่จำเป็นเพื่อปรับปรุงแนวทางการป้องกันทางไซเบอร์ในปัจจุบันของอุตสาหกรรม"

MITRE CTO Charles Clancy และวิศวกรความปลอดภัยทางไซเบอร์ Lex Crumpton ยังได้อธิบายเพิ่มเติมว่า ผู้โจมตีได้โจมตีหนึ่งใน Virtual Private Networks (VPN) ของ MITRE ผ่านทางช่องโหว่ zero-days สองรายการใน Ivanti VPN

โดยผู้โจมตีสามารถ bypass การยืนยันตัวตนแบบหลายปัจจัย (MFA) ได้โดยใช้วิธีการ session hijacking ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐาน VMware ของเครือข่ายที่ถูกโจมตีโดยใช้บัญชีผู้ดูแลระบบที่ได้มา

ตลอดเหตุการณ์ที่เกิดขึ้น แฮ็กเกอร์ใช้การผสมผสานระหว่าง webshells และแบ็คดอร์ที่มีความซับซ้อนเพื่อรักษาการเข้าถึงระบบที่ถูกแฮ็ก และขโมยข้อมูล credentials

โดยตั้งแต่ต้นเดือนธันวาคม 2023 ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ได้แก่ auth bypass (CVE-2023-46805) และ command insert (CVE-2024-21887) ได้ถูกนำไปใช้กับมัลแวร์หลายตระกูลเพื่อวัตถุประสงค์ในการโจมตีทางไซเบอร์

Mandiant ได้เชื่อมโยงการโจมตีเหล่านี้กับกลุ่ม APT ที่ถูกติดตามในชื่อ UNC5221 ในขณะที่ Volexity รายงานว่าเห็นสัญญาณที่แสดงให้เห็นว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีนกำลังใช้ประโยชน์จาก zero-days ทั้งสองรายการ

Volexity ระบุว่าแฮ็กเกอร์ชาวจีนติดตั้งแบ็คดอร์บนอุปกรณ์ Ivanti ไปมากกว่า 2,100 เครื่อง เพื่อขโมยข้อมูลบัญชี และ session จากเครือข่ายที่ถูกโจมตี ซึ่งเหยื่อมีตั้งแต่ธุรกิจขนาดเล็กไปจนถึงองค์กรที่ใหญ่ที่สุดทั่วโลก รวมถึงบริษัทที่ติดอันดับ Fortune 500 จากกลุ่มอุตสาหกรรมต่าง ๆ

เนื่องจากการโจมตีจำนวนมาก และ attack surface ที่กว้างขวาง CISA จึงออกคำสั่งฉุกเฉินฉบับแรกของปีนี้เมื่อวันที่ 19 มกราคม 2024 โดยสั่งให้หน่วยงานรัฐบาลกลางดำเนินการเพื่อลดผลกระทบจากช่องโหว่ Zero-Day ใน Ivanti ทันที

ที่มา : bleepingcomputer.

Customer Support ของ Okta ถูกขโมยข้อมูลทำให้เกิดผลกระทบต่อลูกค้าจำนวน 134 ราย

บริษัท Okta ผู้ให้บริการด้านการจัดการตรวจสอบ และการรับรองตัวตนเปิดเผยเหตุการณ์การบุกรุกระบบ support case management system ซึ่งส่งผลกระทบต่อลูกค้าจำนวน 134 รายจากจำนวนลูกค้าทั้งหมด 18,400 ราย (more…)

WFH Alert: Critical Bug Found in Old D-Link Router Models

เตือนภัยสำหรับผู้ WFH: พบช่องโหว่ระดับ “Critical” ใน D-Link Router รุ่นเก่า

นักวิจัยจาก Palo Alto Networks Unit 42 ได้เปิดเผยถึงช่องโหว่ระดับ “Critical” ใน D-Link DIR-865L จำนวน 6 รายการ โดย  นั้นได้ End Of Support ไปแล้วในสหรัฐอเมริกาและกำลังจะหยุดการจำหน่ายในทวีปยุโรป โดยรายละเอียดของช่องโหว่มีดังนี้

CVE-2020-13782 (CVSS 9.8): เป็นช่องโหว่ที่ผู้โจมตีสามารถใช้ Command Injection ได้บนเราเตอร์ด้วยสิทธิ์ระดับผู้ดูแลระบบ ซึ่งถือว่าเป็นช่องโหว่ที่มีความอันตรายอย่างมาก
CVE-2020-13786 (CVSS 8.8): เป็นช่องโหว่ Cross-Site Request Forgery (CSRF)
CVE-2020-13785 (CVSS 7.5): ช่องโหว่เกิดจาการเข้ารหัสของอุปกรณ์ที่ไม่มีความเเข็งแกร่งเพียงพอ
CVE-2020-13784 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีทำการสร้าง Session Cookie ได้ถ้ารู้เวลาการเข้าใช้ของผู้ใช้งาน
CVE-2020-13783 (CVSS 7.5): ช่องโหว่สามารถทำให้ผู้โจมตีสามารถค้นหารหัสผ่านและทราบรหัสผ่านได้ เนื่องจากอุปกรณ์ทำการจัดเก็บข้อมูลแบบ Plain text
CVE-2020-13787 (CVSS 7.5): ช่องโหว่เกิดจากการใช้งานโปรโตคอล WEP บนอุปกรณ์ ทำให้ผู้โจมตีสามารถดักจับข้อมูลได้แบบ plaintext
นักวิจัยจาก Palo Alto Networks Unit 42 ยังกล่าวอีกว่าหลังจากการรายงานช่องโหว่ D-Link ได้ทำการปล่อย Beta Firmware เพื่อเเก้ไขช่องโหว่เพียง 3 ช่องโหว่จากช่องโหว่ทั้งหมด ซึ่ง BleepingComputer ได้ทำการสอบถามถึงการเเก้ไขช่องโหว่ D-Link ได้เเจ้งกับ BleepingComputer ว่า D-Link DIR-865L นั้นได้ End Of Support ไปแล้วในประเทศสหรัฐอเมริกา ทาง D-Link จึงขอเเนะนำให้ผู้ใช้งานทำการเปลื่ยนเราเตอร์เป็นรุ่นใหม่ที่สามรถรองรับการอัพเดต Firmware ได้

ทั้งนี้นักวิจัยจาก Unit 42 นั้นได้ออกคำเเนะนำให้ผู้ใช้งาน D-Link DIR-865L ทำการตั้งค่าเราเตอร์ให้เปลื่ยนไปใช้งาน HTTPS เพื่อป้องกันการโจมตี Session Hijacking และทำการเปลื่ยน Time Zone บนเราเตอร์เพื่อป้องกันการโจมตีแบบสุ่มการสร้าง Session ID

ที่มา:bleepingcomputer  threatpost   hackread

Joomla SQL Injection Vulnerability Exploit Results in Full Administrative Access

Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ

ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.