หน่วยงานรัฐบาลกลางสหรัฐฯ ถูกแฮ็กจากแฮ็กเกอร์ชาวอิหร่านด้วยช่องโหว่ Log4Shell

FBI และ CISA เปิดเผยข้อมูลของกลุ่มแฮ็กเกอร์ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่าน ในเหตุการณ์การโจมตีองค์กร Federal Civilian Executive Branch (FCEB) เพื่อติดตั้งมัลแวร์ XMRig cryptomining ซึ่งในครั้งนี้ผู้โจมตีเข้าสู่เครือข่ายผ่านเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์ ผ่านช่องโหว่ Log4Shell (CVE-2021-44228)

ลักษณะการโจมตี

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Log 4Shell ในการเข้าไปยังเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์
เมื่อเข้าสู่ VMware Horizon ได้แล้ว มันจะทำการติดตั้ง XMRig cryptomining
หลังจากติดตั้ง Cryptocurrency แล้ว ผู้โจมตีได้ใช้เทคนิค lateral Movement ไปยัง Domain Controller (DC) เพื่อทำการขโมย Credential
เมื่อได้ Credential ที่ต้องการแล้ว ผู้โจมตีจะทำการตั้งค่า Reverse Proxy บนเซิร์ฟเวอร์ที่ถูกโจมตีเพื่อให้มัลแวร์สามารถแฝงตัวอยู่ภายในเครือข่าย

จากเหตุการณ์ทั้งหมด หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาทั้งสองแห่งระบุว่าองค์กรใดที่ยังไม่ได้อัปเดตแพตช์ Log4Shell บนระบบ VMware ให้คาดหมายว่าองค์กรนั้นถูกโจมตีไปเรียบร้อยแล้ว ปละแนะนำให้เริ่มตรวจสอบพฤติกรรมที่ผิดปกติภายในเครือข่ายทันที

Log4Shell สามารถถูกใช้ในการโจมตีจากระยะไกลเพื่อเข้าถึงเซิร์ฟเวอร์ที่มีช่องโหว่ จากนั้นมันจะทำการ lateral Movement เพื่อเข้าถึงระบบอื่น ๆ ในองค์กรเพื่อขโมยข้อมูลที่สำคัญ ซึ่งหลังจากที่มีการเปิดเผยข้อมูลของช่องโหว่ดังกล่าวออกมาในเดือนธันวาคม 2021 ผู้โจมตีหลายรายก็เริ่มมีการสแกนหา และใช้ประโยชน์จากช่องโหว่นี้ในทันที โดยตั้งแต่เดือนมกราคมที่ผ่านมา มีผู้ที่ใช้ช่องโหว่นี้โจมตีเป็นจำนวนมาก เช่น กลุ่มแฮ็กเกอร์ชาวจีนใช้สำหรับNight Sky ransomware, กลุ่ม Lazarus จากเกาหลีเหนือสำหรับการติดตั้ง information stealers, กลุ่มแฮ็กเกอร์ TunnelVision ใช้ช่องโหว่เพื่อติดตั้ง Backdoors เป็นต้น

แนวทางการป้องกัน

อัปเดตระบบ VMware Horizon และ Unified access gateway (UAG) ที่ได้รับผลกระทบเป็นเวอร์ชันล่าสุด
ลดจำนวนระบบที่เป็น Internet-facing ให้เหลือน้อยที่สุด
ดำเนินการทดสอบและตรวจสอบ Security Program ขององค์กรให้สามารถตรวจจับภัยคุกคามได้โดยอ้างอิงกับ MITER ATT&CK for Enterprise framework
ดำเนินการทดสอบความปลอดภัยที่มีอยู่ขององค์กรโดยใช้เทคนิค ATT&CK โดยทดสอบดังนี้ hxxps://www[.]cisa[.]gov/uscert/ncas/alerts/aa22-320a#:~:text=fbi[.]gov[.]-,Mitigations,-CISA%20and%20FBI

 

ที่มา : bleepingcomputer

VMSA-2020-0020 VMware Workstation, Fusion and Horizon Client updates address multiple security vulnerabilities

VMware ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon

วันที่ 14 กันยายน 2020 ที่ผ่านมา VMware ได้ออกเเพตช์เเก้ไขช่องโหว่หลายรายการใน VMware Workstation, Fusion และ Horizon โดยช่องโหว่ที่ทำการเเก้ไขนั้นมีระดับความรุนเเรง CVSS อยู่ที่ 3.8-6.7 ซึ่งรายละเอียดช่องโหว่ที่น่าสนใจมีดังนี้

ช่องโหว่ CVE-2020-3980 ใน VMware Fusion เป็นช่องโหว่การเพิ่มระดับสิทธ์ ช่องโหว่จะทำให้ผู้โจมตีที่มีสิทธิ์ของผู้ใช้ปกติใช้ประโยชน์จากช่องโหว่นี้เพื่อหลอกให้ผู้ดูแลระบบเรียกใช้โค้ดที่เป็นอันตรายในระบบที่ติดตั้ง Fusion ช่องโหว่จะมีผลกระทบกับ VMware Fusion เวอร์ชัน 11.X สำหรับ OS X
ช่องโหว่ CVE-2020-3986, CVE-2020-3987 และ CVE-2020-3988 ใน VMware Horizon Client สำหรับ Windows และ CVE-2020-3986, CVE-2020-3987, CVE-2020-3988 ใน VMware Workstation ช่องโหว่จะทำให้ผู้ประสงค์ร้ายที่สามารถเข้าถึงเครื่อง Workstation ได้สามารถทำให้เกิดสภาวะ Denial-of-Service (DoS) หรือทำ leak memory จากกระบวนการ TPView ที่ทำงานบนระบบที่ติดตั้ง Workstation หรือ Horizon Client สำหรับ Windows โดยช่องโหว่จะกระทบกับ Horizon Client สำหรับ Windows เวอร์ชัน 5.x และก่อนหน้านี้ และ VMware Workstation เวอร์ชัน 15.x

ทั้งนี้ผู้ใช้งานควรทำการอัปเดตเเพตช์เพื่อเเก้ไขปัญหาจากช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมของช่องโหว่สามารถอ่านรายละเอียดเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: vmware.