เมื่อวันที่ 12 กรกฎาคม 2023 ที่ผ่านมา มีรานงานการเปิดเผยช่องโหว่ และออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ใน SonicWall และ Fortinet Network Security

ช่องโหว่ใน SonicWall

SonicWall ได้เปิดเผยช่องโหว่ 15 รายการ (CVE-2023-34123 จนถึง CVE-2023-34137) โดยมีช่องโหว่ระดับ Critical ถึง 4 รายการได้แก่

CVE-2023-34124 (CVSS score: 9.4) - Web Service Authentication Bypass
CVE-2023-34133 (CVSS score: 9.8) - Multiple Unauthenticated SQL Injection Issues and Security Filter Bypass
CVE-2023-34134 (CVSS score: 9.8) - Password Hash Read via Web Service
CVE-2023-34137 (CVSS score: 9.4) - Cloud App Security (CAS) Authentication Bypass

(more…)

บริษัทผู้ผลิตอุปกรณ์ด้านความปลอดภัย SonicWall แจ้งเตือนลูกค้าถึง "ข้อจำกัด" ของฟีเจอร์ web content filtering (WCF) บนระบบ Windows 11 เวอร์ชัน 22H2

Capture Client ของ SonicWall คือโซลูชันการรักษาความปลอดภัยบน Windows และ macOS ที่มาพร้อมกับฟังก์ชัน Endpoint Detection & Response (EDR) ซึ่งสามารถบริหารจัดการผ่านทางบริการ Cloud Management Console ของบริษัท (more…)

เมื่อวันศุกร์ที่ผ่านมา (22 กรกฏาคม 2565) SonicWall ได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ SQL injection (SQLi) ซึ่งส่งผลกระทบต่อผลิตภัณฑ์ Analytics On-Prem และ Global Management System (GMS)

ซึ่งช่องโหว่มีหมายเลข CVE-2022-22280 โดยมี CVSS อยู่ที่ 9.4 ซึ่งทำให้ผู้ไม่หวังดีสามารถโจมตีในรูปแบบ SQL Injection ได้ จาก special elements บางอย่างที่ถูกใช้ใน SQL Command ซึ่งผู้ที่ค้นพบช่องโหว่นี้คือ H4lo และ Catalpa ของ DBappSecurity HAT Lab

ลักษณะของช่องโหว่

หากไม่มีการปิดการใช้งาน SQL Syntax ใน User-controllable inputs ก็จะทำให้ผู้ไม่หวังดีใช้ช่องโหว่นี้ในการทำ SQL Injection เพื่อเข้าถึง หรือจัดการกับข้อมูลที่เก็บอยู่ในฐานข้อมูล รวมถึงสั่งรัน command บนระบบได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ของผู้ใช้

ช่องโหว่นี้จะส่งผลกระทบกับ Analytics เวอร์ชั่น 2.5.0.3-2520 และต่ำกว่า รวมถึง GMS เวอร์ชั่น 9.3.1-SP2-Hotfix1 และต่ำกว่า

คำแนะนำ

ขอแนะนำให้องค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่อัปเกรดเป็น Analytics 2.5.0.3-2520-Hotfix1 และ GMS 9.3.1-SP2-Hotfix-2
พิจารณาในการติดตั้ง Web Application Firewall (WAF) เพื่อป้องการโจมตีในรูปแบบ SQL Injection

ที่มา : thehackernews

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews

SonicWall ประกาศเปิดตัวการอัปเดตเฟิร์มแวร์ครั้งที่สองสำหรับช่องโหว่ Zero-day ใน SMA-100 ซึ่งเป็นช่องโหว่ที่ถูกใช้ในการโจมตีแล้วและทาง SonicWall ได้ออกแจ้งเตือนให้ผู้ดูแลระบบทำการติดตั้งอัปเดตเฟิร์มแวร์ทันที

สืบเนื่องมาจากเมื่อเดือนที่แล้วทาง SonicWall ได้เปิดเผยถึงระบบภายในถูกโจมตีโดยการใช้ช่องโหว่ Zero-day ในอุปกรณ์ SMA-100 และสัปดาห์ต่อมา NCC Group ได้ตรวจพบช่องโหว่ Zero-day ดังกล่าวในการโจมตีจริงอย่างต่อเนื่อง ซึ่งเมื่อวันที่ 3 กุมภาพันธ์ที่ผ่านมา SonicWall ได้เปิดตัวแพตช์การแก้ไขสำหรับช่องโหว่ Zero-day ดังกล่าวและขอแนะนำให้ผู้ใช้ทุกคนทำการอัปเดตแพตช์อย่างทันที

เมื่อวันที่ 19 กุมภาพันธ์ที่ผ่านมา SonicWall ได้ประกาศการอัปเดตเฟิร์มแวร์ใหม่สำหรับอุปกรณ์ SMA-100 ซีรี่ส์ ซึ่งได้ทำการแก้ไขและเพิ่มการป้องกันเพิ่มเติมสำหรับการอัปเดตครั้งล่าสุด

ทั้งนี้เฟิร์มแวร์เวอร์ชันใหม่สำหรับเฟิร์มแวร์รหัส 10.x และ 9.x ในผลิตภัณฑ์ SMA 100 ซีรี่ส์ ซึ่งประกอบด้วย SMA 200, 210, 400, 410 สำหรับ Physical appliance และอุปกรณ์ MA 500v Virtual Appliance พร้อมสำหรับการใช้งานแล้ว ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตเฟิร์มแวร์โดยทันทีเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

SonicWall ผู้ให้บริการความปลอดภัยทางอินเทอร์เน็ตยอดนิยม เช่น ผลิตภัณฑ์ไฟร์วอลล์และ VPN ได้ออกเเถลงถึงเหตุการณ์ที่บริษัทตกเป็นเหยื่อของการโจมตีระบบภายใน

บริษัทระบุว่าแฮกเกอร์ได้ใช้ช่องโหว่ Zero-day บนอุปกรณ์ VPN Secure Mobile Access (SMA) เวอร์ชัน 10.x และ NetExtender VPN เวอร์ชัน 10.x ในการโจมตีระบบเพื่อเข้าถึงเครือข่ายจากระยะไกล ซึ่งขณะนี้ SonicWall กำลังตรวจสอบอย่างละเอียดว่าอุปกรณ์หรือระบบใดบ้างที่ได้รับผลกระทบจากโจมตีจากการใช้ช่องโหว่นี้ โดยเบื้องต้นผลิตภัณฑ์ที่ได้รับผลกระทบคือ

Secure Mobile Access (SMA) เวอร์ชัน 10.x ที่รันบนอุปกรณ์ SMA 200, SMA 210, SMA 400, SMA 410 ซึ่งเป็น Physical Appliances และอุปกรณ์ Virtual SMA 500v Appliances
NetExtender ซึ่งเป็น VPN Client เวอร์ชัน 10.x ถูกใช้เพื่อเชื่อมต่อกับอุปกรณ์ SMA 100 Series และไฟร์วอลล์ SonicWall
ทาง SonicWall ได้ออกมาแนะนำให้ทางผู้ดูแลระบบของเเต่และองค์กรและบริษัททำการสร้าง Firewall Rule, เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับ VPN Client ที่ทำการเข้าถูกระบบ, ปิดการใช้ NetExtender ในการเข้าถึงไฟร์วอลล์และอนุญาตให้เข้าถึงผ่าน SSL-VPN Connection จาก Whitelist IP เท่านั้นสำหรับการเชื่อมต่อ ทั้งนี้ทาง SonicWall ยังคงอยู่ในส่วนของการตรวจสอบผลกระทบที่เกิดขึ้น ผู้ดุแลระบบควรทำการติดตามข่าวสารอย่างต่อเนื่องและเมื่อทาง SonicWall ออกแพตช์การแก้ไขช่องโหว่แล้วผู้ดูแลระบบควรรีบทำการแพตช์ความปลอดภัยเป็นการด่วน

ที่มา: thehackernews | bleepingcomputer

SoniclWall ออกประกาศแพตช์อุด 11 ช่องโหว่ความปลอดภัย โดยหนึ่งในช่องโหว่ความปลอดภัยรหัส CVE-2020-5135 เป็นช่องโหว่ stack-based buffer overflow ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ที่มีช่องโหว่ด้านโดยไม่ต้องมีการพิสูจน์ตัวตน

Nikita Abramov จาก Positive Technologies และ Craig Young จาก TripWrie ซึ่งมีส่วนร่วมในการค้นพบช่องโหว่นี้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส product management และ SSL VPN remote access ที่สามารถถูกสแกนเจอได้จากบริการอย่าง Shodan

นอกเหนือจาก CVE-2020-5135 แล้ว ช่องโหว่ที่น่าสนใจอีกช่องโหว่หนึ่งคือ CVE-2020-5142 ซึ่งผู้โจมตีสามารถสร้างโค้ดจาวาสคริปต์ไปที่หน้า SSL-VPN portal เพื่อทำ DoS อุปกรณ์ได้โดยไม่ต้องมีการพิสูจน์ตัวตน

ในขณะนี้อุปกรณ์ที่ได้รับผลกระทบคือ SonicOS 6.5.4.7-79n และรุ่นก่อนหน้า, SonicOS 6.5.1.11-4n และรุ่นก่อนหน้า, SonicOS 6.0.5.3-93o และรุ่นก่อนหน้า, SonicOS 6.5.4.4-44v-21-794 และรุ่นก่อนหน้า และ SonicOS 7.0.0.0-1 ขอให้ทำการอัปเดตอุปกรณ์เพื่อจัดการความเสี่ยงที่เกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: threatpost.