CISA เตือนผู้ดูแลระบบให้รีบแก้ไขช่องโหว่ Spring, Zyxel โดยด่วน

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่อีก 2 รายการเข้าสุ่รายการเฝ้าระวังช่องโหว่ร้ายแรงที่กำลังถูกนำมาใช้ในการโจมตีจริง ช่องโหว่แรกคือช่องโหว่ code injection บน Spring Cloud Gateway library และอีกหนึ่งช่องโหว่ command injection ในเฟิร์มแวร์ของ Zyxel บนอุปกรณ์ไฟร์วอลล์ และ VPN

โดยช่องโหว่ Spring Framework (CVE-2022-22947) เป็นช่องโหว่ระดับ Critical ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนเครื่องที่ยังไม่ได้อัปเดตแพตซ์

ซึ่งปัจจุบัน Botnet ที่รู้จักกันในชื่อ Sysrv เริ่มดำเนินการโจมตีเพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

ผู้โจมตียังโจมตีโดยใช้ช่องโหว่ในเฟิร์มแวร์ของ Zyxel (CVE-2022-30525) ซึ่งพึ่งได้รับการแก้ไขไปเมื่อวันที่ 12 พฤษภาคม และเริ่มพบการโจมตีทันทีหลังจากวันที่ทาง Zyxel ออกแพตซ์อัปเดตออกมา

Rapid7 พบผลิตภัณฑ์ของ Zyxel ที่มีช่องโหว่มากกว่า 15,000 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ในขณะที่ Shadowserver ตรวจพบอุปกรณ์ที่อาจได้รับผลกระทบอย่างน้อย 20,000 เครื่อง

นับตั้งแต่การโจมตีเริ่มต้นขึ้น Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA ยังเตือนผู้ดูแลระบบเกี่ยวกับการโจมตีที่เริ่มพบมากขึ้นเรื่อยๆ และแนะนำให้รีบอัปเดตเฟิร์มแวร์ของไฟร์วอลล์ Zyxel โดยเร็วที่สุด

(more…)