พบ browser extensions อันตรายกว่า 100 รายการบน Google Chrome Web Store ซึ่งปลอมแปลงเป็น VPNs, AI assistants และ crypto utilities เพื่อขโมย browser cookies และเรียกใช้ scripts จากระยะไกล

(more…)

ช่องโหว่ด้านความปลอดภัยระดับ Critical ใน IXON VPN Client ที่ถูกใช้งานอย่างแพร่หลาย ทำให้เกิดความเสี่ยงต่อระบบปฏิบัติการ Windows, Linux และ macOS โดยเปิดโอกาสให้ผู้ใช้งานที่ไม่มีสิทธิ์ระดับสูงสามารถยกระดับสิทธิ์เป็น root หรือ System ได้ (more…)

 

SonicWall ออกคำเตือนให้ลูกค้ารีบอัปเดตแพตช์โดยทันที เพื่อแก้ไขช่องโหว่ 3 รายการที่พบในอุปกรณ์ Secure Mobile Access (SMA) โดยหนึ่งในช่องโหว่ดังกล่าวมีรายงานว่ากำลังถูกใช้ในการโจมตีแล้ว ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-32819, CVE-2025-32820 และ CVE-2025-32821 ซึ่งถูกค้นพบโดย Ryan Emmons นักวิจัยจากบริษัท Rapid7 ซึ่งระบุว่า ผู้ไม่หวังดีสามารถใช้ช่องโหว่เหล่านี้ร่วมกันเพื่อเข้าควบคุมอุปกรณ์จากระยะไกลด้วยสิทธิ์ระดับ root ได้ (more…)

Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing

จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN

Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี

เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย

ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม

BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น

แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login

ที่มา : bleepingcomputer

 

ผู้ให้บริการอีเมลที่เน้นความเป็นส่วนตัว Tuta (เดิมชื่อ Tutanota) และ VPN Trust Initiative (VTI) กำลังแสดงความกังวลเกี่ยวกับกฎหมายใหม่ของฝรั่งเศสที่เสนอให้มี backdoor ในระบบเข้ารหัสข้อความ และจำกัดการเข้าถึงอินเทอร์เน็ต (more…)

ฐานข้อมูลของ Lyca Mobile ถูกเปิดเผย (more…)

การวิจัยใหม่ได้ค้นพบช่องโหว่ด้านความปลอดภัยใน Tunneling Protocol หลายตัว ซึ่งอาจทำให้ผู้โจมตีสามารถทำการโจมตีได้หลากหลายรูปแบบ (more…)

Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)

นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

ที่มา : bleepingcomputer

Check Point ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ Zero-Day ของ VPN ที่กำลังถูกใช้ในการโจมตีเพื่อเข้าถึงไฟร์วอลล์จากระยะไกล และพยายามเข้าถึงเครือข่ายของเป้าหมาย

โดยก่อนหน้านี้ทาง Check Point ได้แจ้งเตือนการพบการโจมตีซึ่งมุ่งเป้าหมายไปยังอุปกรณ์ VPN ที่สูงขึ้นอย่างมีนัยสำคัญ และได้เผยแพร่คำแนะนำในการป้องกัน ต่อมาทาง Check Point ได้ค้นพบสาเหตุของปัญหาดังกล่าว ซึ่งเป็นช่องโหว่ Zero-Day ที่กำลังถูกใช้โดย Hacker เพื่อโจมตีเป้าหมาย

CVE-2024-24919 (คะแนน CVSS 8.6/10 ความรุนแรงระดับ High) ช่องโหว่ information disclosure ที่ทำให้ Hacker สามารถอ่านข้อมูลบน Check Point Security Gateways ที่เข้าถึงได้จากอินเทอร์เน็ต ที่มีการเปิดใช้งาน VPN หรือ Mobile Access Software Blades ซึ่งส่งผลกระทบต่ออุปกรณ์ CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, และ Quantum Spark Appliancesในเวอร์ชัน R80.20.x, R80.20SP (EOL), R80.40 (EOL), R81, R81.10, R81.10.x และ R81.20

ทั้งนี้ทาง Check Point ได้ออกอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ดังกล่าวแล้ว ในเวอร์ชันดังต่อไปนี้ :
**

Quantum Security Gateway and CloudGuard Network Security: R81.20, R81.10, R81, R80.40

Quantum Maestro and Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP

Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x

หากผู้ดูแลระบบต้องการอัปเดตด้วยตนเอง สามารถเข้าไปที่ Security Gateway > Software Updates > Available Updates > Hotfix Updates และคลิก 'Install' โดยจะใช้เวลาในการดำเนินงานประมาณ 10 นาที และจำเป็นต้องทำการ reboot อุปกรณ์

หลังจากที่ทำการอัปเดตแล้ว การพยายามโจมตีเพื่อเข้าสู่ระบบโดยใช้ข้อมูล weak credentials จะถูกบล็อคโดยอัตโนมัติ และถูก logging ในระบบ ซึ่งการอัปเดตดังกล่าวครอบคลุมถึงเวอร์ชันที่ end-of-life (EOL) ไปแล้ว

ทั้งนี้ผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตได้ ควรปรับปรุงด้านความปลอดภัยโดยการอัปเดตรหัสผ่าน Active Directory (AD) ที่ Security Gateway ใช้สำหรับการตรวจสอบสิทธิ์

รวมถึง Check Point ได้สร้างสคริปต์ สำหรับตรวจสอบการเข้าถึงระยะไกลที่สามารถอัปโหลดไปยัง 'SmartConsole' และดำเนินการเพื่อตรวจสอบผลลัพธ์ และวิธีการดำเนินการที่เหมาะสม

ที่มา : bleepingcomputer