CISA ได้เพิ่มช่องโหว่ 3 รายการลงใน Known Exploited Vulnerabilities catalog (KEV) ซึ่งเป็นรายการช่องโหว่ที่พบว่าถูกนำไปใช้ในการโจมตีแล้ว ซึ่งเป็นช่องโหว่ hardcoded credentials ใน SolarWinds Web Help Desk (WHD) ระดับ Critical โดยทาง SolarWinds ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่แล้วในเดือนสิงหาคม 2024 (more…)

ADT ผู้ให้บริการด้านความปลอดภัยสำหรับที่อยู่อาศัย และธุรกิจขนาดเล็ก ได้เปิดเผยถึงการถูกโจมตีทางไซเบอร์ หลังจากที่ผู้ไม่หวังดีเข้าถึงระบบของตนโดยใช้ข้อมูล Credentials ** ที่ถูกโจมตีมาจากพันธมิตรทางธุรกิจของตน ในเอกสาร Form 8-K ที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ในวันจันทร์ ADT ยืนยันว่ามีการโจมตีทางไซเบอร์เกิดขึ้น ซึ่งนำไปสู่การขโมยข้อมูลบัญชีพนักงานที่เข้ารหัสไว้ (more…)

SolarWinds ออกแพตช์อัปเดตเร่งด่วนระดับ critical สำหรับช่องโหว่ของ Web Help Desk ซึ่งเป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถเข้าสู่ระบบที่มีช่องโหว่ได้โดยใช้ hardcoded credentials

โดย Web Help Desk (WHD) เป็นซอฟต์แวร์ช่วยเหลือทางด้านไอทีที่ได้รับความนิยมจากหน่วยงานของรัฐ, บริษัทขนาดใหญ่, องค์กรด้านการดูแลสุขภาพ และการศึกษา เพื่อนำมาช่วยให้งานบริหารจัดการเป็นรูปแบบอัตโนมัติ และมีประสิทธิภาพมากขึ้น ทั้งนี้ระบบ IT management ของ SolarWind มีลูกค้าใช้งานมากกว่า 300,000 รายทั่วโลก

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-28987 ได้รับการแก้ไขไปเมื่อวันพุธที่ 21 สิงหาคม 2024 ที่ผ่านมา โดยเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนเข้าถึงฟังก์ชันภายใน และแก้ไขข้อมูลบนอุปกรณ์ที่ถูกโจมตีได้หลังจากการโจมตีสำเร็จ ช่องโหว่นี้ถูกค้นพบ และรายงานโดย Zach Hanley นักวิจัยด้านความปลอดภัยจาก Horizon3.ai

(more…)

SolarWinds แก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM)

SolarWinds ได้ทำการแก้ไขช่องโหว่ระดับ Critical 8 รายการในซอฟต์แวร์ Access Rights Manager (ARM) โดยที่ 6 จาก 8 ช่องโหว่ทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บนอุปกรณ์ของเป้าหมายได้

(more…)

SolarWinds เผยแพร่อัปเดตการแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการใน Serv-U และ SolarWinds Platform รวมถึงช่องโหว่ที่ถูกรายงานจาก NATO Pentester

SolarWinds ออกแพตซ์อัปเดต SolarWinds Platform เวอร์ชัน 2024.2 ที่ได้แก้ไขช่องโหว่ใหม่ 3 รายการ และช่องโหว่จาก third-party components

ช่องโหว่แรกมีหมายเลข CVE-2024-28996 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ช่องโหว่ SWQL injection ซึ่งเป็น subset ที่เป็นสิทธิ์ read-only ของ SQL, SWQL ที่อนุญาตให้ผู้ใช้งาน query ฐานข้อมูล SolarWinds สำหรับข้อมูลเครือข่าย ซึ่งถูกรายงานโดย Pentester Nils Putnins ของ NATO Communications and Information Agency

ช่องโหว่อีก 2 รายการที่ส่งผลกระทบต่อ web console ได้แก่ CVE-2024-28999 (คะแนน CVSS 6.4/10 ความรุนแรงระดับ Medium) ช่องโหว่ race condition และ CVE-2024-29004 (คะแนน CVSS 7.1/10 ความรุนแรงระดับ High) ช่องโหว่ cross-site scripting (XSS) ที่จำเป็นต้องใช้สิทธิ์สูง และการโต้ตอบของผู้ใช้จึงจะทำให้สามารถโจมตีได้สำเร็จ โดยส่งผลกระทบต่อแพลตฟอร์ม SolarWinds 2024.1 SR 1 และเวอร์ชันก่อนหน้า

และช่องโหว่ที่พึ่งถูกเปิดเผยล่าสุด CVE-2024-28995 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ directory traversal ใน Serv-U ที่อาจทำ Hacker สามารถอ่านไฟล์ที่มีความสำคัญบนเครื่องโฮสต์ได้ โดยส่งผลต่อ Serv-U 15.4.2 hotfix 1 และเวอร์ชันก่อนหน้า รวมถึง Serv-U FTP Server, Serv-U Gateway และ Serv-U MFT Server.

นักวิจัยด้านความปลอดภัยพบช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลระดับ Critical 3 รายการในผลิตภัณฑ์ SolarWinds Access Rights Manager (ARM) ที่ทำให้ Hacker สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ได้

SolarWinds Access Rights Manager (ARM) เป็นเครื่องมือที่ช่วยให้องค์กรสามารถจัดการ และตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้งานใน IT environment ของตน รวมถึงสามารถทำงานร่วมกับระบบอื่น ๆ ได้ เช่น Microsoft Active Directory, Role-based access control, Visual feedback และอื่น ๆ อีกมากมาย

นักวิจัยได้รายงานช่องโหว่ที่พบ 8 รายการในโซลูชัน SolarWinds เมื่อวันที่ 22 มิถุนายน 2023 ผ่าน Zero Day Initiative (ZDI) ของ Trend Micro โดยมีช่องโหว่ 3 รายการที่มีความรุนแรงระดับ Critical ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล remote code execution (RCE)

CVE-2023-3518 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM ผ่าน deserialization data ที่ไม่น่าเชื่อถือด้วย ‘createGlobalServerChannelInternal’ method

CVE-2023-35185 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenFile’ method

CVE-2023-35187 (คะแนน CVSS 9.8 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเรียกใช้คำสั่งด้วยสิทธิ์ SYSTEM เนื่องจากความบกพร่องจากการตรวจสอบ user-supplied paths ใน ‘OpenClientUpdateFile’ method

การเรียกใช้คำสั่งด้วย “SYSTEM” บน Windows computer หมายความว่าคำสั่งนั้นจะทำงานด้วยสิทธิ์สูงสุดบนเครื่อง โดย SYSTEM เป็นบัญชีภายในที่สงวนไว้สำหรับระบบปฏิบัติการ และบริการต่าง ๆ โดย Hacker ที่ได้รับสิทธิ์ในระดับ SYSTEM จะสามารถควบคุมไฟล์ทั้งหมดในเครื่องของเหยื่อได้อย่างสมบูรณ์

รวมไปถึงยังพบว่าช่องโหว่ที่เหลือที่ SolarWinds ที่ถูกระบุใน Access Right Manager นั้นมีระดับความรุนแรงสูง ซึ่ง Hacker สามารถโจมตีช่องโหว่เพื่อเพิ่ม permissions หรือเรียกใช้คำสั่งอันตรายบนโฮสต์ภายหลังจากการผ่านการตรวจสอบสิทธิ์

SolarWinds ออกแพตซ์อัปเดตเพื่อแก้ช่องโหว่ดังกล่าวแล้ว ในวันที่ 18 ตุลาคม 2023 ในเวอร์ชัน 2023.2.1 ของ Access Rights Manager จึงแจ้งเตือนไปยังผู้ดูแลระบบให้ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่โดยด่วน

ที่มา : bleepingcomputer

RomCom RAT ยังคงพัฒนาแคมเปญการโจมตีอย่างต่อเนื่องด้วยซอฟต์แวร์ปลอม เช่น SolarWinds Network Performance Monitor, KeePass password manager และ PDF Reader Pro

เป้าหมายของแฮ็กเกอร์คือหน่วยงานในประเทศยูเครน และประเทศที่ใช้ภาษาอังกฤษเป็นหลักอย่างเช่น สหราชอาณาจักร

การค้นพบล่าสุดเกิดขึ้นหนึ่งสัปดาห์หลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ของแคนาดาเปิดเผยแคมเปญ spear-phishing ที่มุ่งเป้าไปที่หน่วยงานในประเทศยูเครนเพื่อแพร่กระจายโทรจันที่ชื่อว่า RomCom RAT นอกจากนี้ยังการใช้ซอฟต์แวร์ปลอมของ Advanced IP Scanner และ pdfFiller เพื่อแพร่กระจายโทรจันด้วยเช่นเดียวกัน

โดยแคมเปญดังกล่าวมีการตั้งชื่อเว็ปไซต์ที่มีชื่อโดเมนคล้ายกันกับซอฟต์แวร์จริง แต่ไฟล์ติดตั้งจะเป็นซอฟแวร์ที่มีมัลแวร์ฝังอยู่ ซึ่งจะถูกส่งไปพร้อมกับอีเมลฟิชชิ่งไปยังเป้าหมาย

แม้ว่าจะดาวน์โหลดรุ่นทดลองใช้ฟรีจากเว็ปไซต์ของ SolarWinds ปลอม แต่ก็จะมีแบบฟอร์มสำหรับการลงทะเบียนขอใช้งานที่ถูกต้อง ซึ่งหากกรอกข้อมูลครบถ้วนก็อาจจะมีพนักงานของ SolarWinds จริง ๆ ติดต่อเหยื่อกลับไปเพื่อติดตามการทดลองใช้ผลิตภัณฑ์ ซึ่งเทคนิคนี้จะยิ่งทำให้เหยื่อหลงเชื่อว่าแอปพลิเคชันที่เพิ่งดาวน์โหลด และติดตั้งนี้เป็นเวอร์ชันจริง

การใช้ RomCom RAT ยังเชื่อมโยงกับการโจมตีที่เกี่ยวข้องกับกลุ่ม Cuba ransomware และ Industrial Spy ตามรายงานจาก Palo Alto Networks Unit 42 ซึ่งกำลังติดตามการปฏิบัติการของกลุ่ม ransomware ภายใต้ชื่อกลุ่ม Tropical Scorpuis

Palo Alto Networks Unit 42 ระบุว่าตัวอย่างของ RomCom RAT ที่เป็นตัวติดตั้งสำหรับซอฟต์แวร์ Veeam Backup & Replication ที่โฮสต์อยู่บนโดเมนที่เป็นอันตรายชื่อ "wveeam[.]com" เช่นเดียวกับในกรณีของ SolarWinds หลังจากการดาวน์โหลดไฟล์ติดตั้ง ผู้ใช้งานจะถูกเปลี่ยนเส้นทางไปยังแบบฟอร์มที่ให้เหยื่อป้อนรายละเอียดข้อมูลสำหรับการลงทะเบียน และขนาดของไฟล์ติดตั้งที่ใหญ่ถึงกว่า 10GB ทำให้สามารถหลบเลี่ยงการตรวจสอบจากอุปกรณ์ด้านความปลอดภัยบางอย่างได้โดยอัตโนมัติ

 

ที่มา : thehackernews

กลุ่มแฮ็กเกอร์ของหน่วยงานข่าวกรองต่างประเทศของรัสเซีย (SVR) เริ่มใช้บริการพื้นที่บน Google Drive เพื่อนำมาใช้ในการเก็บข้อมูลที่ขโมยมา เก็บมัลแวร์ หรือไฟล์ที่เป็นอันตรายเพื่อใช้ในการโจมตีเหยื่อ และยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ เนื่องจาก Google Drive เป็นบริการพื้นที่เก็บข้อมูลที่ได้รับความไว้วางใจจากผู้ใช้งานนับล้านทั่วโลก จึงทำให้การโจมตีโดยเชื่อมโยงกับไฟล์ที่อยู่บน Google Drive อาจไม่ถูกตรวจจับ หรือป้องกัน

กลุ่ม APT29 หรือที่รู้จักกันในชื่อ Cozy Bear หรือ Nobelium ได้ใช้กลยุทธ์ดังกล่าวในการโจมตีเมื่อเร็วๆนี้ โดยมุ่งเป้าไปที่ภารกิจทางการทูตของตะวันตก และสถานทูตต่างประเทศทั่วโลกระหว่างต้นเดือนพฤษภาคมถึงมิถุนายน 2565

นักวิเคราะห์จาก Unit 42 ผู้พบเห็นแนวโน้มการโจมตีในรูปแบบนี้ระบุว่า “สองแคมเปญล่าสุดของพวกเขาใช้ประโยชน์จากบริการจัดเก็บข้อมูลระบบคลาวด์ของ Google Drive เป็นครั้งแรก”

"การใช้งานที่แพร่หลายของบริการพื้นที่เก็บข้อมูลบนคลาวด์ของ Google Drive บวกกับความไว้วางใจจากผู้ใช้งานหลายล้านคนทั่วโลก ทำให้ Google Drive ถูกนำมาใช้ในการโจมตีด้วยมัลแวร์จากกลุ่ม APT"

ขณะที่ Mandiant ได้เปิดเผยในรายงานเดือนเมษายนที่มีการติดตามหนึ่งในแคมเปญฟิชชิ่งของกลุ่ม APT ว่า นี่ไม่ใช่ครั้งแรกที่กลุ่มแฮ็กเกอร์ APT29 ใช้บริการเว็บไซต์ที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ในการทำเป็น command-and-control (C2) และการจัดเก็บข้อมูลต่างๆ

เช่นเดียวกับในแคมเปญที่พบโดย Unit 42 ทีมของ Mandiant ยังพบการโจมตีด้วยฟิชชิ่งของกลุ่มแฮ็กเกอร์กับพนักงานขององค์กรทางการทูตต่างๆ ทั่วโลก ซึ่งสอดคล้องกับผลประโยชน์เชิงกลยุทธ์ทางภูมิรัฐศาสตร์ของรัสเซียในปัจจุบัน และการกำหนดเป้าหมายของ APT29 ก่อนหน้านี้

เป้าหมายระดับสูงของ APT29

APT29 คือกลุ่มผู้โจมตีที่คาดว่าเป็นหน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ที่ดำเนินการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds ซึ่งนำไปสู่การเข้าถึงข้อมูลของหน่วยงานของรัฐบาลกลางสหรัฐหลายแห่งในปี 2563

เมื่อปลายเดือนกรกฎาคม กระทรวงยุติธรรมสหรัฐฯ เปิดเผยว่าสำนักงานอัยการสหรัฐฯ 27 แห่งถูกละเมิดข้อมูลในระหว่างการถูกโจมตีของ SolarWinds

ในเดือนเมษายน พ.ศ. 2564 รัฐบาลสหรัฐฯ กล่าวโทษ SVR อย่างเป็นทางการว่ามีส่วนเกี่ยวข้องกับการเข้าถึงข้อมูลของหน่วยงานรัฐบาลสหรัฐฯ หลายแห่ง

หลังจากการโจมตีในรูปแบบ suppy-chain attack กับ SolarWinds กลุ่ม APT29 ยังได้ทำการโจมตีเครือข่ายขององค์กรอื่นๆ โดยใช้มัลแวร์ที่ยังไม่เคยถูกตรวจพบมาก่อน เช่น GoldMax Linux backdoor และ TrailBlazer Malware

โดยกลุ่มยังมีการกำหนดเป้าหมายไปที่กลุ่มบริษัท I.T. supply chain จากรายงานที่ Microsoft เปิดเผยเมื่อเดือนตุลาคมว่ามีบริษัทที่โดนโจมตีสำเร็จอย่างน้อย 14 ราย หลังจากการพยายามโจมตีผู้ให้บริการในลักษณะ MSP และผู้ให้บริการระบบคลาวด์ประมาณ 140 รายตั้งแต่เดือนพฤษภาคม 2564

ที่มา: bleepingcomputer, unit42.paloaltonetworks

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

พบว่าแฮ็กกอร์ที่อยู่เบื้องหลังการโจมตี SolarWinds เข้าถึงอีเมลของระดับหัวหน้าในกระทรวง DHS (Department of Homeland Security)

รายงานระบุว่ากลุ่มแฮ็กเกอร์ดังกล่าวสามารถเข้าถึงบัญชีอีเมลของเจ้าหน้าที่ในกระทรวงหลายคน รวมถึง Chad Wolf ที่มีตำแหน่งเป็นอดีตผู้รักษาการรัฐมนตรีว่าการกระทรวง ส่งผลให้ Wolf และเจ้าหน้าที่ของกระทรวงอีกหลายคนต้องเปลี่ยนโทรศัพท์มือถือใหม่ และเปลี่ยนข้อมูลการสื่อสารใหม่ทั้งหมดหลังจากพบเหตุการณ์ การรั่วไหลข้อมูลในครั้งนี้ถูกพบในช่วงเดือนธันวาคมที่ผ่านมา ซึ่งเป็นช่วงเวลาเดียวกับที่พบว่ามีกลุ่มแฮ็กเกอร์ชาวรัสเซียโจมตี SolarWinds Orion การโจมตีในครั้งนั้นส่งผลกระทบกับหลายกระทรวงในสหรัฐอเมริกา รวมถึงบริษัทยักษ์ใหญ่อีกหลายแห่ง อย่างไรก็ตามรัสเซียได้ออกมาปฏิเสธถึงการอยู่เบื้องหลังเหตุการณ์ดังกล่าวแล้ว

ที่มา: darkreading