“NachoVPN” การโจมตีรูปแบบใหม่ที่ใช้เซิร์ฟเวอร์ VPN ปลอมเพื่อหลอกติดตั้งการอัปเดตที่เป็นอันตราย

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)

Sophos เปิดเผยรายงานการป้องกันการโจมตีอุปกรณ์เครือข่ายจากกลุ่ม Hacker ชาวจีน นานกว่า 5 ปี

Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)

กลุ่ม Fog Ransomware มุ่งโจมตีช่องโหว่ SonicWall VPN เพื่อเข้าถึงเครือข่ายของเป้าหมาย

นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

ที่มา : bleepingcomputer

ช่องโหว่ SSLVPN access control ใน SonicWall กำลังถูกนำมาใช้ในการโจมตี

SonicWall ออกมาแจ้งเตือนว่าช่องโหว่ access control ใน SonicOS กำลังถูกนำไปใช้ในการโจมตี โดย SonicWall มีการออกแพตช์แก้ไขช่องโหว่ไปแล้วก่อนหน้านี้ ซึ่งช่องโหว่ดังกล่าวมี (more…)

SonicWall แจ้งเตือนช่องโหว่ Access Control ระดับ Critical ใน SonicOS

SonicOS ของ SonicWall มีความเสี่ยงต่อช่องโหว่เกี่ยวกับ access control ระดับ Critical ที่อาจทำให้ Hacker สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือทำให้ไฟร์วอลล์หยุดการทำงานได้ (more…)

SonicWall แจ้งเตือนช่องโหว่ Access Control ระดับ Critical ใน SonicOS

SonicOS ของ SonicWall มีความเสี่ยงต่อช่องโหว่เกี่ยวกับ access control ระดับ Critical ที่อาจทำให้ Hacker สามารถเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต หรือทำให้ไฟร์วอลล์หยุดการทำงานได้

CVE-2024-40766 (คะแนน CVSS 9.3/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ Hacker สามารถเข้าถึงเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และในบางกรณีอาจส่งผลให้ไฟร์วอลล์หยุดการทำงาน โดยช่องโหว่ดังกล่าวมีความซับซ้อนต่ำ ไม่ต้องมีการยืนยันตัวตน และไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้

(more…)

SonicWall และ Fortinet Network Security เปิดเผยช่องโหว่ระดับ Critical ในอุปกรณ์

เมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมา มีรานงานการเปิดเผยช่องโหว่ และออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน SonicWall และ Fortinet Network Security

ช่องโหว่ใน SonicWall

SonicWall ได้เปิดเผยช่องโหว่ 15 รายการ (CVE-2023-34123 จนถึง CVE-2023-34137) โดยมีช่องโหว่ระดับ Critical ถึง 4 รายการได้แก่

CVE-2023-34124 (CVSS score: 9.4) - Web Service Authentication Bypass
CVE-2023-34133 (CVSS score: 9.8) - Multiple Unauthenticated SQL Injection Issues and Security Filter Bypass
CVE-2023-34134 (CVSS score: 9.8) - Password Hash Read via Web Service
CVE-2023-34137 (CVSS score: 9.4) - Cloud App Security (CAS) Authentication Bypass

(more…)

SonicWall แจ้งเตือนฟีเจอร์การกรองเนื้อหาเว็ปไซต์ใช้งานไม่ได้บน Windows 11 22H2

บริษัทผู้ผลิตอุปกรณ์ด้านความปลอดภัย SonicWall แจ้งเตือนลูกค้าถึง "ข้อจำกัด" ของฟีเจอร์ web content filtering (WCF) บนระบบ Windows 11 เวอร์ชัน 22H2

Capture Client ของ SonicWall คือโซลูชันการรักษาความปลอดภัยบน Windows และ macOS ที่มาพร้อมกับฟังก์ชัน Endpoint Detection & Response (EDR) ซึ่งสามารถบริหารจัดการผ่านทางบริการ Cloud Management Console ของบริษัท (more…)

SonicWall ออกแพตซ์แก้ไขช่องโหว่สำหรับ Analytics และ GMS

เมื่อวันศุกร์ที่ผ่านมา (22 กรกฏาคม 2565) SonicWall ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ SQL injection (SQLi) ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Analytics On-Prem และ Global Management System (GMS)

ซึ่งช่องโหว่มีหมายเลข CVE-2022-22280 โดยมี CVSS อยู่ที่ 9.4 ซึ่งทำให้ผู้ไม่หวังดีสามารถโจมตีในรูปแบบ SQL Injection ได้ จาก special elements บางอย่างที่ถูกใช้ใน SQL Command ซึ่งผู้ที่ค้นพบช่องโหว่นี้คือ H4lo และ Catalpa ของ DBappSecurity HAT Lab

ลักษณะของช่องโหว่

หากไม่มีการปิดการใช้งาน SQL Syntax ใน User-controllable inputs ก็จะทำให้ผู้ไม่หวังดีใช้ช่องโหว่นี้ในการทำ SQL Injection เพื่อเข้าถึง หรือจัดการกับข้อมูลที่เก็บอยู่ในฐานข้อมูล รวมถึงสั่งรัน command บนระบบได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้

ช่องโหว่นี้จะส่งผลกระทบกับ Analytics เวอร์ชั่น 2.5.0.3-2520 และต่ำกว่า รวมถึง GMS เวอร์ชั่น 9.3.1-SP2-Hotfix1 และต่ำกว่า

คำแนะนำ

ขอแนะนำให้องค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่อัปเกรดเป็น Analytics 2.5.0.3-2520-Hotfix1 และ GMS 9.3.1-SP2-Hotfix-2
พิจารณาในการติดตั้ง Web Application Firewall (WAF) เพื่อป้องการโจมตีในรูปแบบ SQL Injection

ที่มา : thehackernews

เกาหลีเหนือใช้ประโยชน์จากช่องโหว่ VPN เพื่อแฮกสถาบันวิจัยนิวเคลียร์ของเกาหลีใต้

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews