พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)

ช่องโหว่ auth bypass ใน Zimbra Email อาจมีเซิร์ฟเวอร์ถูกโจมตีแล้วมากกว่า 1,000 แห่ง

พบช่องโหว่ authentication bypass ใน Zimbra Email ที่กำลังถูกใช้ในการโจมตีเซิร์ฟเวอร์อีเมล Zimbra Collaboration Suite (ZCS) หลายแห่งทั่วโลก

Zimbra เป็นแพลตฟอร์มอีเมลที่ใช้ในธุรกิจมากกว่า 200,000 แห่งจากกว่า 140 ประเทศ รวมถึงหน่วยงานภาครัฐ และภาคการเงินมากกว่า 1,000 แห่ง

Volexity บริษัทข่าวกรองด้านภัยคุกคามเปิดเผยว่า กำลังพบการโจมตีโดยใช้ช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลของ ZCS ซึ่งมีหมายเลข CVE-2022-27925 ร่วมกับช่องโหว่ authentication bypass ที่มีหมายเลข CVE-2022-37042 ซึ่งปัจจุบัน Zimbra ออกแพตซ์สำหรับแก้ไขช่องโหว่ออกมาแล้วในวันที่ 10 สิงหาคม 2565

Volexity ระบุว่าช่องโหว่นี้ถูกใช้ในลักษณะที่เหมือนกับช่องโหว่ zero-day ของ Microsoft Exchange ที่ถูกพบเมื่อต้นปี 2564 ซึ่งหากโจมตีได้สำเร็จ ผู้โจมตีจะสามารถติดตั้ง web shells บนเซิร์ฟเวอร์ที่ถูกโจมตี เพื่อให้สามารถกลับเข้ามาควบคุมเครื่องได้ตลอดเวลา หากผู้ใช้งานมีการใช้งาน Zimbra เวอร์ชัน 8.8.15 patch 33 หรือ Zimbra 9.0.0 patch 26 ควรรีบอัปเดตแพตช์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุด

เซิร์ฟเวอร์มากกว่า 1,000 แห่งอาจกำลังถูกบุกรุก

หลังจากมีหลักฐานจากการตรวจสอบเซิร์ฟเวอร์อีเมล Zimbra ที่ถูกโจมตีโดยใช้ช่องโหว่ CVE-2022-27925 และช่องโหว่ authentication bypass CVE-2022-37042

Volexity จึงได้ทำการสแกนเพื่อระบุอินสแตนซ์ของ ZCS กว่า 1,000 รายการทั่วโลกที่มีช่องโหว่ และคาดว่าน่าจะถูกโจมตีไปแล้ว โดยสังเกตจากข้อมูล web shells ที่ถูกติดตั้งไว้บนระบบ ซึ่งอินสแตนซ์ ZCS เหล่านี้เป็นขององค์กรระดับโลกหลายแห่ง รวมถึงหน่วยงาน และกระทรวงของรัฐบาล หน่วยงานทหาร และธุรกิจทั่วโลกที่มีรายได้หลายพันล้านดอลลาร์

โดย Volexity ระบุว่าได้รายงานข้อมูลทั้งหมดไปยัง Zimbra และทีม Computer Emergency Response Team (CERTs) ในแต่ละประเทศที่พบว่ามีองค์กรถูกโจมตี โดยปัจจุบัน Zimbra ได้ออกแพตซ์อัปเดตเวอร์ชัน 8.8.15 patch 33 และ Zimbra 9.0.0 patch 26 ผู้ดูแลระบบควรอัปเดตแพตช์เซิร์ฟเวอร์ทันทีเพื่อป้องกันการถูกการโจมตี

นอกจากนี้ CISA ได้มีการเพิ่มช่องโหว่ของ Zimbra ที่มีระดับความรุนแรงสูงอีก 1 รายการ ที่มีหมายเลข CVE-2022-27924 ไปยัง Known Exploited Vulnerabilities Catalog ซึ่งเป็นช่องโหว่ที่ทำให้ผู้โจมตีที่ไม่ได้ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ใช้งานออกไปได้

ที่มา: bleepingcomputer

Microsoft กำลังสอบสวนความเป็นไปได้ที่ POC ของช่องโหว่ Exchange จะรั่วไหล

ช่องโหว่ Microsoft Exchange ที่รู้จักในชื่อ ProxyLogon (https://proxylogon.com/) เป็นช่องโหว่ที่ถูกค้นพบโดยบริษัท DEVCORE ที่แจ้งไปยัง Microsoft และ Microsoft แก้ไขในแพตช์ด่วนไปเมื่อ 3 มีนาคม 2021 ที่ผ่านมา แต่จากการตรวจสอบของบริษัทด้านความปลอดภัยต่างๆ เช่น Volexity, Unit 42, Rapid 7 และ CrowdStrike พบว่ามีการโจมตีก่อนที่จะมีการออกแพตช์ในช่วงปลายเดือนกุมภาพันธ์ 2021 ซึ่งเมื่อวิเคราะห์ข้อมูลการโจมตีโดยละเอียดพบว่าการโจมตีมีความผิดปกติ คือใช้ POC ของบริษัท DEVCORE ที่ส่งให้ Microsoft เพื่อทำการออกแพตช์ จึงเป็นไปได้ที่จะมีการรั่วไหลของ POC ของช่องโหว่ Exchange เกิดขึ้นก่อนการแพตช์

ทางบริษัท DEVCORE ออกแถลงการณ์ระบุว่าทางบริษัทได้ทำการตรวจสอบแล้วและไม่พบว่ามีการรั่วไหลของ POC จากฝั่ง DEVCORE ในขณะที่ทาง Microsoft อยู่ระหว่างการทำการสืบสวน ซึ่งจะมุ่งไปที่โปรแกรม Microsoft Active Protections Program (Mapp) ที่ทาง Microsoft จะให้ข้อมูลบริษัทด้านความปลอดภัยต่างๆ อย่างบริษัทผลิตภัณฑ์ป้องกันมัลแวร์ทราบข้อมูลเกี่ยวกับภัยคุกคามก่อนล่วงหน้า โดยในกรณีช่องโหว่ ProxyLogon นี้ ทาง Microsoft ได้ส่ง POC ให้กับบริษัทในโครงการ Mapp เมื่อวันที่ 23 กุมภาพันธ์ 2021 ที่ผ่านมา

ที่มา : wsj | zdnet

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

OceanLotus Blossoms: Mass Digital Surveillance and Attacks Targeting ASEAN, Asian Nations, the Media, Human Rights Groups, and Civil Society

แจ้งเตือนการโจมตีพุ่งเป้ากลุ่มประเทศใน ASEAN ขโมยข้อมูล, ดักฟังและแพร่กระจายมัลแวร์

บริษัทด้านความปลอดภัย Volexity ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดซึ่งเชื่อกันว่ามีผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์เวียดนามภายใต้ชื่อรหัส APT32 หรือ OceanLotus โดยในแคมเปญนี้นั้นมีเป้าหมายโจมตีหลายประเทศในกลุ่มอาเซียน และเน้นไปที่การขโมยและเก็บข้อมูลที่มีความอ่อนไหวสูง

สำหรับประเทศที่มีการตรวจพบการโจมตีแล้วนั้นได้แก่ เวียดนาม, กัมพูชา, ลาว, ฟิลิปปินส์รวมไปถึงประเทศจีน โดยผู้โจมตีมีการเจาะระบบเว็บไซต์ราชการหลายแห่งและใช้เว็บไซต์เหล่านั้นในการแพร่กระจายมัลแวร์ไปยังระบบอื่นๆ ต่อ การโจมตีของแคมเปญการโจมตีนี้เน้นหนักไปที่การเก็บข้อมูลของผู้ใช้งาน เก็บหมายเลขไอพีของผู้เยี่ยมชมเว็บไซต์และฝังแบ็คดอร์ไว้ในระบบต่างๆ เพื่อให้เข้าถึงได้ภายหลัง

แนะนำให้ผู้ดูแลระบบตรวจสอบความผิดปกติในระบบอย่างสม่ำเสมอ รวมไปถึงการเข้าถึงที่ไม่ได้รับอนุญาต การส่งข้อมูลออกไปยังระบบภายนอกที่ต้องสงสัย ผู้อ่านสามารถดูพฤติกรรมการโจมตีของแฮกเกอร์กลุ่มนี้เพิ่มเติมได้จากลิงค์แหล่งที่มา

ที่มา : volexity