Permalink SonicWall ปล่อยแพตช์อุด 11 ช่องโหว่ความปลอดภัย ช่องโหว่ร้ายแรงสุดทำ RCE ได้ง่ายๆ โดยไม่ต้องล็อกอิน

SoniclWall ออกประกาศแพตช์อุด 11 ช่องโหว่ความปลอดภัย โดยหนึ่งในช่องโหว่ความปลอดภัยรหัส CVE-2020-5135 เป็นช่องโหว่ stack-based buffer overflow ซึ่งทำให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายกับอุปกรณ์ที่มีช่องโหว่ด้านโดยไม่ต้องมีการพิสูจน์ตัวตน

Nikita Abramov จาก Positive Technologies และ Craig Young จาก TripWrie ซึ่งมีส่วนร่วมในการค้นพบช่องโหว่นี้ให้ข้อมูลเพิ่มเติมว่า ช่องโหว่ดังกล่าวอยู่ในเซอร์วิส product management และ SSL VPN remote access ที่สามารถถูกสแกนเจอได้จากบริการอย่าง Shodan

นอกเหนือจาก CVE-2020-5135 แล้ว ช่องโหว่ที่น่าสนใจอีกช่องโหว่หนึ่งคือ CVE-2020-5142 ซึ่งผู้โจมตีสามารถสร้างโค้ดจาวาสคริปต์ไปที่หน้า SSL-VPN portal เพื่อทำ DoS อุปกรณ์ได้โดยไม่ต้องมีการพิสูจน์ตัวตน

ในขณะนี้อุปกรณ์ที่ได้รับผลกระทบคือ SonicOS 6.5.4.7-79n และรุ่นก่อนหน้า, SonicOS 6.5.1.11-4n และรุ่นก่อนหน้า, SonicOS 6.0.5.3-93o และรุ่นก่อนหน้า, SonicOS 6.5.4.4-44v-21-794 และรุ่นก่อนหน้า และ SonicOS 7.0.0.0-1 ขอให้ทำการอัปเดตอุปกรณ์เพื่อจัดการความเสี่ยงที่เกิดขึ้นจากช่องโหว่โดยด่วน

ที่มา: threatpost.

Iran-linked APT group Pioneer Kitten sells access to hacked networks

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

ผลการสำรวจครึ่งปี 2020 พบกลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ VPN และ RDP ทำการโจมตีองค์กรต่างๆ มากที่สุด

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

US Govt Shares Tips on Securing VPNs Used by Remote Workers

รัฐบาลสหรัฐแบ่งปันเคล็ดลับในการรักษาความปลอดภัย VPN สำหรับทำงานจากระยะไกล

หน่วยงานความมั่นคงปลอดภัยไซเบอร์ของกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐอเมริกา (CISA) ได้แบ่งปันเคล็ดลับเกี่ยวกับวิธีการรักษาความปลอดภัยเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรอย่างถูกต้อง หลังจากที่เห็นว่าองค์กรจำนวนมากกำลังเปลี่ยนไปเป็นการทำงานจากที่บ้าน เพื่อตอบสนองต่อการระบาดของ COVID-19

คาดว่าผู้โจมตีจะให้ความสำคัญกับการโจมตีการทำงานจากระยะไกล เนื่องจากพนักงานจำนวนมากได้เปลี่ยนไปใช้ VPN ขององค์กรเพื่อการทำงานทางไกล ผู้โจมตีเองก็จะเน้นการโจมตีข้อบกพร่องด้านความปลอดภัย VPN มากขึ้น ซึ่งมีโอกาสน้อยมากที่ VPN จะถูกแพตช์ทันเวลาโดยเฉพาะองค์กรที่มีการทำงานทั้งกลางวันและเเละกลางคืน

CISA ยังเน้นถึงความจริงที่ว่าผู้โจมตีอาจเพิ่มการโจมตีแบบ Phishing เพื่อขโมยข้อมูลประจำตัวของพนักงานที่ทำงานจากที่บ้าน ซึ่งองค์กรที่ยังไม่ได้ใช้การพิสูจน์ตัวตนด้วยหลายปัจจัย (MFA) สำหรับการเข้าถึงระยะไกลจะมีความเสี่ยงมากที่สุด

เมื่อถูกโจมตี องค์กรอาจมีการเชื่อมต่อ VPN จำนวนจำกัด หลังจากนั้นจะไม่มีพนักงานคนใดสามารถทำงาน จากระยะไกลได้อีก CISA กล่าว เมื่อความพร้อมใช้งาน VPN ลดลง การดำเนินธุรกิจที่สำคัญอาจประสบปัญหา เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีอาจปฏิบัติงานด้านความปลอดภัยทางไซเบอร์ได้จำกัด

CISA เสนอให้ดำเนินการต่อไปนี้เพื่อเพิ่มความปลอดภัยให้ VPN ขององค์กร

– ดูเเลรักษา VPN อุปกรณ์โครงสร้างพื้นฐานเครือข่ายและอุปกรณ์ที่ใช้สำหรับการทำงานระยะไกลให้เป็นปัจจุบัน (ใช้เเพตช์แก้ไขล่าสุด และตั้งค่าให้ปลอดภัย)
– แจ้งให้พนักงานทราบถึงความพยายาม Phishing ที่เพิ่มขึ้น
– ตรวจสอบให้แน่ใจว่าพนักงานรักษาความปลอดภัยไอทีมีความพร้อมสำหรับการตรวจสอบ Log การรีโมทระยะไกล การตรวจจับการโจมตี และการตอบสนองและกู้คืนเหตุการณ์
– นำ MFA ไปใช้กับการเชื่อมต่อ VPN ทั้งหมด หรือต้องการให้พนักงานใช้รหัสผ่านที่คาดเดายากเพื่อป้องกันการโจมตีในอนาคต
– ทดสอบข้อจำกัดโครงสร้างพื้นฐาน VPN ในการเตรียมพร้อมสำหรับการใช้งานจำนวนมาก และใช้มาตรการต่างๆ เช่น Rate-limiting เพื่อจัดลำดับความสำคัญของผู้ใช้ที่ต้องการแบนด์วิดท์ที่สูงขึ้น

ที่มา: bleepingcomputer

Cyber Attack ช่องโหว่บนโปรเเกรม Pulse VPN และ Android Devices

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.

First Cyber Attack ‘Mass Exploiting’ BlueKeep RDP Flaw Spotted in the Wild

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews

CISCO PATCHES DOS FLAW IN BGP OVER ETHERNET VPN IMPLEMENTATION

การดำเนินการเปลี่ยนแปลง Border Gateway Protocol (BGP) บน Ethernet VPN ทำให้เกิดช่องโหว่ในซอฟต์แวร์ IOE XE
Cisco ได้เปิดเผยการปรับปรุงซอฟต์แวร์สำหรับ IOS XE เพื่อแก้ไขปัญหาการโจมตีจากระยะไกลได้ โดยไม่ต้องพิสูจน์ตัวตน ทำให้เกิดข้อผิดพลาดหรือความเสียหายกับ BGP routing table ส่งผลให้เกิดความไม่เสถียรของเครือข่าย ได้รับรหัสเป็น CVE-2017-12319
Cisco กล่าวว่า IOS XE เวอร์ชันก่อนหน้า 16.3 ที่รองรับการใช้งาน BGP บน Ethernet VPN มีความเสี่ยง ผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งแพคเก็ต BGP ที่สร้างขึ้นมาให้กับอุปกรณ์ที่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถรีโหลด หรือสร้างความเสียหายต่อ BGP routing table ส่งผลให้เกิดการ DoS ได้

ที่มา : Threatpost

Critical Vulnerability in VPN Exposes User’s Real IP Address to Attacker

นักวิจัยด้านความปลอดภัยจาก Perfect Privacy ได้ออกมาประกาศค้นพบช่องโหว่ที่มีความรุนแรงสูงบนระบบเครือข่าย VPN ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึง IP จริงของผู้ใช้งานในระบบได้ ซึ่งจากการทดสอบบริการ VPN ชื่อดัง 9 เครือข่าย พบว่า มีถึง 5 เครือข่ายที่เสี่ยงถูกแฮ็คเกอร์ขโมยข้อมูล IP ของผู้ใช้บริการ

การจะแฮ็คหมายเลข IP ของผู้ใช้ผ่านช่องโหว่ดังกล่าว จำเป็นต้องเคลียร์เงื่อนไขพิเศษหลายรายการ โดยนักวิจัยด้านความปลอดภัยระบุว่า ถ้าผู้ให้บริการ VPN เปิดใช้งาน Port Forwarding ( ซึ่งส่วนใหญ่จะเปิด ) บนชื่อบัญชีของผู้ใช้ และแฮ็คเกอร์รู้หมายเลข IP ปลายทางของการทำ VPN จะทำให้แฮ็คเกอร์สามารถสืบกลับไปหา IP ต้นทางซึ่งเป็น IP จริงของผู้ใช้ได้ทันที

การสืบหมายเลข IP จริงจาก IP ปลายทางหลัง VPN
สำหรับแฮ็คเกอร์แล้ว IP ปลายทางหลังจาก VPN นั้นหาได้ง่ายมากผ่านทาง Public IRC, การเชื่อมต่อ Torrent หรือจะทำ Site Hijacking ก็ได้ เช่น หลอกล่อให้ผู้ใช้งานเข้าไปยังเว็บไซต์ที่ถูกไฮแจ็ค ก็สามารถได้หมายเลข IP ปลายทางทันที ซึ่งเมื่อแฮ็คเกอร์ได้หมายเลข IP นี้มาแล้ว แฮ็คเกอร์จำเป็นต้องมีชื่อบัญชีบนบริการ VPN เช่นเดียวกับของผู้ใช้เพื่อใช้สืบกลับไปหา IP จริง หลังจากนั้น แฮ็คเกอร์สามารถทำให้ผู้ใช้ VPN เข้าถึง Resource บน VPN Server เครื่องเดียวกับของตนได้ แฮ็คเกอร์ก็จะทราบหมายเลข IP จริงของผู้ใช้ผ่านทาง Routing Table ภายในและการตั้งค่า Port Forwarding ทันที

สำหรับผู้ที่ใช้บริการ OpenVPN, PPTP หรือ IPSec อยู่ ต่างได้รับผลกระทบจากช่องโหว่นี้ทั้งสิ้น เนื่องจากบริการเหล่านี้ต่างวางโครงสร้างอยู่บน OSI Model และช่องโหว่ที่ค้นพบอยู่บน Layer ที่ต่ำกว่า ซึ่งทีมนักวิจัยให้คำแนะนำ ดังนี้

ใช้หมายเลข IP หลายๆ หมายเลข
เปิดการเชื่อมต่อที่เข้ามาที่ IP1 และออกไปที่ IP2 – IPx
ทำ Port Forwarding ที่ IP2 – IPx แทนที่จะเป็น IP1
อย่าใช้ Man-in-the-Middle IP สำหรับการทำ Port Forwarding

ที่มา : HACKREAD