นักวิจัยด้านความปลอดภัยจาก Bank_Security ได้เปิดเผยถึงการค้นพบข้อมูล Credential ของ Fortinet VPN ที่มีเกือบ 50,000 รายการในฟอรั่ม Dark web

ข้อมูล Credential ที่ถูกปล่อยนั้นเป็นไฟล์ "sslvpn_websession" ของ Fortinet VPN ที่ถูกใช้ประโยชน์จากช่องโหว่ CVE-2018-13379 ซึ่งเป็นช่องโหว่ path traversal ที่ส่งผลกระทบต่ออุปกรณ์ Fortinet FortiOS SSL VPN จำนวนมากที่ไม่ได้รับการเเพตซ์ความปลอดภัย ด้วยการใช้ประโยชน์จากช่องโหว่นี้ผู้โจมตีระยะไกลที่ไม่ได้รับการพิสูจน์ตัวตนสามารถเข้าถึงไฟล์ของระบบผ่านการร้องขอ HTTP request ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ ซึ่งผู้โจมตีจะสามารถเข้าถึงไฟล์ sslvpn_websession จาก Fortinet VPN ได้และจะสามารถขโมยข้อมูล Credential ของการเข้าสู่ระบบ โดยข้อมูล Credential ที่ถูกขโมยเหล่านี้สามารถใช้ในบุกรุกเครือข่ายได้

นักวิจัยได้ทำการวิเคราะห์ข้อมูลที่ถูกรั่วไหลออกมา พบว่า IP และโดเมนส่วนใหญ่เป็นของรัฐบาลจากทั่วโลกและเป็นของธนาคารและบริษัททางด้านการเงินทุนที่มีชื่อเสียง

ทั้งนี้ผู้ดูแลระบบของ Fortinet VPN ควรรีบทำการตรวจสอบและควรรีบทำการอัปเดตแพตซ์ความปลอดภัยเป็นการด่วนเพื่อเป็นการป้องกันการโจมตีจากผู้ประสงค์ร้าย

ที่มา:

https://www.

ทีม Drupal ประกาศแพตช์สำหรับช่องโหว่ระดับวิกฤติ CVE-2020-13671 จากปัญหา Double extension ซึ่งส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ที่เป็นอันตรายขึ้นบนระบบได้โดยข้ามผ่านการตรวจสอบที่เหมาะสม

Double extension เป็นปัญหาและช่องโหว่ที่เกิดขึ้นเมื่อแอปพลิเคชันทำการตรวจสอบนามสกุลและประเภทของไฟล์ที่ไม่เหมาะสม ตัวอย่างหนึ่งของการโจมตีคือหากผู้ไม่ประสงค์ต้องการอัปโหลดไฟล์อันตรายชื่อ malware.

นักวิจัยด้านความปลอดภัยจาก Symantec ได้เปิดเผยถึงการค้นพบแคมเปญการโจมตีเป้าหมายทางด้านธุรกิจที่เกี่ยวข้องกับอุตสาหกรรมยานยนต์, เภสัชกรรม, วิศวกรรมและผู้ให้บริการแบบ Managed Service Provider (MSP) โดยใช้ช่องโหว่ CVE-2020-1472 (ZeroLogon) จากกลุ่มเเฮกเกอร์ที่มีชื่อว่า “Cicada” หรือที่รู้จักกันในชื่อ APT10, Stone Panda และ Cloud Hopper

กลุ่ม Cicada เป็นกลุ่มภัยคุกคามที่ถูกเปิดเผยครั้งแรกในปี 2009 และเป็นกลุ่มที่รัฐบาลสหรัฐฯ เชื่อว่าอาจได้รับการสนับสนุนจากรัฐบาลจีน โดยในกิจกรรมแคมเปญการโจมตีกลุ่มธุรกิจในครั้งนี้ กลุ่ม Cicada ได้ทำการเพิ่มการใช้ประโยชน์จากช่องโหว่ CVE-2020-1472 (ZeroLogon) เข้าไปในเครื่องมือของกลุ่มแฮกเกอร์ ซึ่งช่องโหว่ดังกล่าวเป็นช่องโหว่การเข้ารหัสใน Microsoft Windows Netlogon Remote Protocol (MS-NRPC หรือ NRPC) และเป็นช่องโหว่ที่สำคัญที่ทำให้ผู้โจมตีสามารถยกระดับสิทธิ์และสามารถปลอมเป็นเครื่องใดๆ ในโดเมนรวมถึงภายในโดเมนคอนโทรลเลอร์และจะสามารถส่งคำขอเพื่อเปลี่ยนรหัสผ่านเพื่อยึดโดเมนคอนโทรลเลอร์ได้

กลุ่ม Cicada ยังได้ทำการเปิดตัว Backdoor.

Google เตรียมปล่อยแพตช์ช่องโหว่ Zero-day เพิ่มอีก 2 รายการหลังจากมีการติดต่อมาจากนักวิจัยด้านความปลอดภัยนิรนามเกี่ยวกับรายละเอียดของช่องโหว่และความเป็นไปได้ที่ทั้งสองช่องโหว่จะถูกใช้เพื่อโจมตีจริงแล้ว

ช่องโหว่แรกคือ CVE-2020-16013 เป็นช่องโหว่ซึ่งเกิดจากการอิมพลีเมนต์ที่ไม่ถูกต้องของ WebAssembly และเอนจินจาวาสคริปต์ ส่วนอีกช่องโหว่หนึ่งคือ CVE-2020-16017 ซึ่งเป็นช่องโหว่ use-after-free ในฟีเจอร์ Site isolation ซึ่งส่งผลให้เกิดการรันโค้ดที่เป็นอันตรายได้ ในขณะนี้รายละเอียดของช่องโหว่รวมไปถึงข้อมูลของผู้โจมตีซึ่งใช้ช่องโหว่นั้นยังคงถูกจำกัด คาดว่าจะมีการปล่อยข้อมูลออกมาหลังจากมีการแพตช์ออกซักระยะหนึ่งต่อไป

จากสถิติที่ผ่านมา Google ออกแพตช์ Zero-day ไปทั้งหมดกว่า 5 ช่องโหว่ในช่วงเวลาหนึ่งเดือน ลักษณะดังกล่าวส่อเค้าให้เห็นถึงความเป็นไปได้ว่าอาจมีกลุ่มของผู้โจมตีที่กำลังเคลื่อนไหวและมีการใช้ช่องโหว่ใน Google Chrome ในการโจมตีจริงอยู่ ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์และติดตั้งแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีอย่างใกล้ชิด

ที่มา: bleepingcomputer.

นักวิจัยด้านความปลอดภัยจาก Juniper Threat Labs ได้ทำการตรวจพบเวิร์มและบ็อตเน็ตชนิดใหม่ที่อาศัย GitHub และ Pastebin ในการสร้างโค้ดคอมโพเนนต์ที่เป็นอันตรายและมีโมดูลในการโจมตีที่แตกต่างกันอย่างน้อย 12 โมดูลและมัลแวร์ยังมีความสามารถในการแพร่กระจายในรูปแบบอัตโนมัติ โดยมัลแวร์อาจนำไปสู่การแพร่กระจายภายในเครือข่ายองค์กรหรือไปยังโฮสต์ของผู้ใช้ที่ทำการเชื่อมต่อ ซึ่งนักวิจัยได้มัลแวร์ชนิดนี้ว่า “Gitpaste-12”

มัลแวร์“Gitpaste-12” ถูกตรวจพบครั้งแรกประมาณวันที่ 15 ตุลาคม ที่ผ่านมา โดยมัลแวร์จะมีโมดูลที่ใช้ในการโจมตีซึ่งประกอบไปด้วยช่องโหว่จำนวน 11 ช่องโหว่คือ CVE-2017-14135 (Webadmin plugin for opendreambox), CVE-2020-24217 (HiSilicon video encoders), CVE-2017-5638 (Apache Struts), CVE-2020-10987 (Tenda router), CVE-2014-8361 (Realtek SDK), CVE-2020-15893 (Dlink routers), CVE-2013-5948 (Asus routers), EDB-ID: 48225 (Netlink GPON Router), EDB-ID: 40500 (AVTECH IP Camera), CVE-2019-10758 (CVE-2019-10758) และ CVE-2017-17215 (Huawei router)

นักวิจัยกล่าวว่าขึ้นตอนการโจมตีของ Gitpaste-12 จะเริ่มต้นโดยการดาวน์โหลดสคริปต์จาก Pastebin URL ซึ่งจะสั่งให้โฮสต์ที่ติดเชื้อเรียกใช้สคริปต์นี้ต่อไปทุกๆ นาที จากนี้มัลแวร์จะดาวน์โหลด Shell script หลักจาก GitHub ซึ่งก็คือ https: //raw.

กลุ่ม REvil ransomware ได้อ้างว่าในช่วงหนึ่งปีที่ผ่านมาทางกลุ่มได้ทำเงินมากกว่า 100 ล้านดอลลาร์ ซึ่งเป็นเงินจากการเรียกค่าไถ่กับบริษัทที่มีธุรกิจขนาดใหญ่ทั่วโลกและจากภาคส่วนต่างๆ

อ้างอิงจากตัวเเทนของกลุ่ม REvil ที่ใช้นามเเฝงว่า “UNKN” และ “Unknown” ซึ่งได้กล่าวว่าเป้าหมายหลักของ REVil คือการโจมตีบริษัทที่มีธุรกิจขนาดใหญ่เช่น Travelex, Grubman Shire Meiselas & Sacks (GSMLaw) และ GEDIA Automotive Group โดยในการโจมตีบริษัทดังกล่าวพวกเขาได้ใช้เทคนิคการโจมตีแบบ Brute-force กับโพรโทคอล Remote Desktop Protocol (RDP) รวมถึงใช้ช่องโหว่ใหม่ๆ ได้เเก่ CVE-2020-0609 และ CVE-2020-0610 และช่องโหว่ใน Pulse Secure VPN ในการโจมตี

กลุ่ม REvil ทำกำไรจากเหยื่อที่จ่ายค่าไถ่เพื่อปลดล็อกไฟล์ที่ถูกเข้ารหัสและข่มขู่ว่าจะปล่อยข้อมูลที่มีความละเอียดอ่อนของบริษัทที่ถูกโจมตีหรือขายข้อมูลให้กับผู้ที่สนใจ ซึ่งข้อมูลเหล่านี้อาจมีทำให้เกิดการสูญเสียความข้อได้เปรียบในการแข่งขันทางธุรกิจและอาจก่อให้เกิดความเสียหายต่อชื่อเสียงของบริษัทและองค์กร ซึ่งวิธีนี้ทำให้กลุ่ม REvil สามารถทำเงินได้อย่างมากมายจากการไม่เผยแพร่ข้อมูลที่ถูกขโมยไปจากบริษัทที่ถูกบุกรุก

ปัจจุบันกลุ่ม REvil ใช้การดำเนินการ ransomware-as-a-service (RaaS) หรือบริการให้เช่าแรนซัมเเวร์ โดยกลุ่มที่ทำการเช่าบริการจะได้เงินส่วนเเบ่งค่าไถ่จำนวน 70% ถึง 80 % กลุ่มที่ทำการเช่าบริการจะทำหน้าที่โจมตีเป้าหมายและกลุ่ม REvil จะทำหน้าที่ในการเจรจาเรียกค่าไถ่, การพัฒนาซอฟต์แวร์, การอัปเดตการรับการชำระเงินและการส่งมอบตัวถอดรหัส ซึ่งด้วยวิธีการนี้ก็ทำให้กลุ่ม REvil สามารถทำเงินจากการเรียกค่าไถ่ได้เป็นจำนวนมาก นอกจากนี้กลุ่ม REvil ยังได้คิดจะใช้กลยุทธ์อื่นๆ ที่ออกแบบมาเพื่อเพิ่มโอกาสในการเรียกรับเงินค่าไถ่ ซึ่งก็คือการโจมตีเหยื่อด้วยการโจมตีแบบปฏิเสธการให้บริการ (distributed denial-of-service - DDoS) เพื่อบังคับให้เหยื่อทำการเจรจาการจ่ายเงินค่าไถ่

ที่มา:

bleepingcomputer.

Google Project Zero ออกประกาศให้รายละเอียดเร่งด่วนเกี่ยวกับช่องโหว่ Zero-day ใน Windows รหัส CVE-2020-17087 ซึ่งช่วยให้ผู้โจมตีสามารถยกระดับสิทธิ์ในระบบได้ หลังจากมีการตรวจพบการใช้ช่องโหว่นี้ร่วมกับช่องโหว่ Zero-day ใน Google Chrome รหัส CVE-2020-15999 ในการโจมตีจริง

ประกาศของ Google Project Zero มีการให้รายละเอียดถึงที่มาของช่องโหว่เอาไว้รวมไปถึง PoC ของช่องโหว่ซึ่งกระทบ Windows 7 และ Windows 10 การประกาศสร้างการวิพากวิจารณ์ขึ้นมาอีกครั้งในเรื่องของการเปิดเผยช่องโหว่ เนื่องจากในบางมุมนั้นการเปิดเผยรายละเอียดของช่องโหว่โดยยังไม่มีแพตช์ออกมาอาจเป็นการสร้างผลกระทบที่มากยิ่งขึ้น อย่างไรก็ตามด้วยจุดยืน Google Project Zero การประกาศรายละเอียดอาจช่วยให้การตรวจจับและการพัฒนาทางเลือกในการป้องกันเกิดขึ้นได้ไวกว่าเดิมเช่นเดียวกัน

เนื่องจากเป็นการประกาศนอกรอบแพตช์และผลกระทบที่มีต่อช่องโหว่ อาจมีความเป็นไปได้สูงที่แพตช์ของช่องโหว่นี้จะออกในวันที่ 10 พฤศจิกายนในช่วง Patch Tuesday ประจำเดือนเลยทีเดียว ขอให้มีการติดตามและอัปเดตแพตช์กันต่อไป

ที่มา:

zdnet.

ในรายงานที่เผยแพร่โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ Rapid7 และ Rafay Baloch นักวิจัยด้านความปลอดภัยจากปากีสถานได้เปิดเผยถึงช่องโหว่การปลอมแปลง address bar หรือ “Address bar spoofing” ในเว็บเบราว์เซอร์ที่จะอนุญาตให้เว็บไซต์ที่เป็นอันตรายสามารถแก้ไข URL ที่เเท้จริงและจะแสดง URL ของปลอมแทนได้

โดยรายงานที่ถูกเปิดเผยนั้นพบว่ามีช่องโหว่จำนวนสิบรายการและอยู่ในแอปพลิเคชันเบราว์เซอร์บนอุปกรณ์เคลื่อนที่เจ็ดรายการถูกติดตามด้วยรหัส CVE-2020-7363, CVE-2020-7364, CVE-TBD-Opera (3 รายการ), CVE-2020-7369, CVE-2020-7370, CVE-2020-7371, CVE-2020-9987 ซึ่งเว็บบราว์เซอร์ที่ได้รับผลกระทบในช่องโหว่นี้คือ Apple Safari , Opera Touch และ Opera Mini, Bolt, RITS, UC Browser และ Yandex Browser ทั้งนี้ช่องโหว่ทั้งหมดถูกรายงานไปยังผู้ผลิตเบราว์เซอร์แล้วในเดือนสิงหาคมที่ผ่านมาและผู้ผลิตเบราว์เซอร์บางส่วนได้ทำการเเก้ไขแล้ว

นักวิจัยด้านความปลอดภัยจาก Rapid7 กล่าวว่าช่องโหว่ทั้งหมดใช้ประโยชน์จากช่องโหว่ใน "JavaScript shenanigans” ทั้งนี้ผู้ใช้งานควรทำการอัปเดตแอปพลิเคชันเบราว์เซอร์ที่ใช้ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet.

FireEye/Mandiant ออกรายงานเมื่อวานที่ผ่านมาถึงพฤติกรรมของกลุ่ม APT ใหม่ภายใต้ชื่อ UNC1945 กลุ่มนี้มีพฤติกรรมโจมตีบริษัทด้านโทรคมนาคม, สถาบันทางด้านการเงินและบริษัทให้คำปรึกษา ไฮไลท์สำคัญของพฤติกรรมอยู่ที่การใช้ช่องโหว่ Zero-day ใน Solaris ซึ่ง FireEye/Mandiant มีการแจ้งไปในรอบแพตช์เดือนตุลาคมในการโจมตี

จุดน่าสนใจในพฤติกรรมของภัยคุกคามจากข้อมูล Threat intelligence มีตามประเด็นดังนี้

กลุ่มผู้โจมตีมีการหลบหลีกการตรวจจับโดยการปฏิบัติการใน virtual machine กับซอฟต์แวร์ QEMU ซึ่งกลุ่มฯ พัฒนามาใช้สำหรับช่วยโจมตีโดยเฉพาะ
มีการใช้ช่องโหว่ CVE-2020-14871 ใน Solaris เพื่อเข้าถึงและติดตั้งมัลแวร์สำหรับสร้างช่องทางลับ
กลุ่มผู้โจมตีมีความเชี่ยวชาญในระบบตระกูล Unix สูง มีการใช้เทคนิค SSH port forwarding เพื่อสร้างช่องทางในการติดต่อ C&C และโอนถ่ายไฟล์
ยังไม่มีการตรวจพบการขโมยข้อมูลออกจากระบบที่ถูกโจมตี แต่มีการติดตั้ง Ransomware เมื่อเสร็จสิ้นปฏิบัติการด้วย
ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมของกลุ่ม UNC1945 ได้ที่ https://www.

Cisco ออกแจ้งเตือนช่องโหว่ Zero-day รหัส CVE-2020-3556 ล่าสุดในซอฟต์แวร์ Cisco AnyConnect Secure Mobility Client การโจมตีช่องโหว่สามารถทำให้ผู้โจมตีรันโค้ดที่เป็นอันตรายใส่อุปกรณ์ที่มีช่องโหว่ได้จากระยะไกล โดย Cisco ได้มีการระบุว่าใน Advisory ว่าช่องโหว่ CVE-2020-3356 นี้มีโค้ดสำหรับโจมตีแล้ว แต่ยังไม่ตรวจพบการนำมาใช้โจมตีจริง

ช่องโหว่ CVE-2020-3356 เป็นช่องโหว่ซึ่งอยู่ในขั้นตอนการสื่อสารระหว่างโปรเซสในอุปกรณ์ซึ่งทำให้ผู้โจมตีที่มีการพิสูจน์ตัวตนเข้ามาในระบบแล้วรวมไปถึงผู้โจมตีที่ใช้งานอยู่ในเครือข่ายเดียวกันสามารถรันสคริปต์ที่เป็นอันตรายได้ อย่างไรก็ตามช่องโหว่นี้จะถูกโจมตีได้ก็ต่อเมื่อฟีเจอร์ Auto Update และ Enable Scripting ถูกเปิดใช้งานอยู่ ซึ่งโดยปกตินั้นจะมีเพียงฟีเจอร์ Auto Update ซึ่งถูกเปิดใช้งานเป็นค่าเริ่มต้น

เนื่องจากยังไม่มีแพตช์ออกมา Cisco ได้ให้คำแนะนำในการลดความเสี่ยงที่จะถูกโจมตีโดยการตรวจสอบและปิดการใช้งานฟีเจอร์ Auto Update และ Enable Scripting ออกไปก่อนจนกว่าจะมีการแพตช์อย่างเสร็จสิ้น ขอให้ผู้ใช้งานติดตามการอัปเดตแพตช์อย่างใกล้ชิดและดำเนินการตามมาตรการที่เหมาะสมเพื่อลดความเสี่ยงที่จะถูกโจมตีโดยช่องโหว่

ที่มา: bleepingcomputer.