SolarWinds ออกคำเตือนการโจมตี ซึ่งมีเป้าหมายไปที่ Web Help Desk instances (WHD)

SolarWinds ออกคำเตือนเกี่ยวกับการโจมตีไปที่ instances ของ Web Help Desk (WHD) ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ต และแนะนำให้ปิดการเข้าถึงจากอินเทอร์เน็ตเพื่อเป็นการแก้ปัญหาเบื้องต้น

WHD เป็นระบบ helpdesk ticketing และ IT inventory สำหรับองค์กร ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้งานบริหารจัดการงานในด้านต่างๆได้อย่างสะดวก

“ผู้ใช้งาน SolarWinds หลายราย รายงานการพยายามโจมตีจากภายนอกมาที่ instances ของ Web Help Desk 12.7.5 โดย Endpoint detection and response (EDR) ของผู้ใช้งานสามารถแจ้งเตือน และบล็อกการโจมตีได้” SolarWinds กล่าว

“เพื่อความปลอดภัย SolarWinds ขอแนะนำให้ผู้ใช้งานทั้งหมดที่มีการเปิดให้เข้าถึง Web Help Desk ได้จากอินเทอร์เน็ต ให้ปิดการเข้าถึงได้โดยตรงจากอินเทอร์เน็ตไปก่อน จนกว่าจะมีข้อมูลของการโจมตีเพิ่มเติม”

"ส่วนลูกค้าที่ไม่สามารถปิดการเชื่อมต่อของ Web Help Desk จากอินเทอร์เน็ต ขอแนะนำให้ใช้ซอฟต์แวร์ EDR และคอยเฝ้าระวังการพยายามโจมตีอย่างสม่ำเสมอ"

ช่องโหว่ของ Web Help Desk

SolarWinds ไม่ได้ให้รายละเอียดใด ๆ เกี่ยวกับเครื่องมือ หรือเทคนิคที่ใช้ในการโจมตี แต่ก็เคยมีช่องโหว่ด้านความปลอดภัยอย่างน้อยสี่ช่องโหว่ ที่พบว่าผู้โจมตีใช้โจมตีไปที่ instances WHD ได้ หากผู้ใช้งานยังไม่ได้อัพเดทแพตช์ :

Access Restriction Bypass Via Referrer Spoof - Business Logic Bypass Vulnerability (CVE-2021-32076) - Fixed in WHD 12.7.6
Enabled HTTP PUT & DELETE Methods (CVE-2021-35243) - Fixed in WHD 12.7.7 Hotfix 1
Hard-coded credentials allowing arbitrary HSQL queries execution (CVE-2021-35232) - Fixed in WHD 12.7.7 Hotfix 1
Sensitive Data Disclosure Vulnerability (CVE-2021-35251) - Fixed in WHD 12.7.8

จากรายละเอียดใน CVE-2921-35251 ผู้โจมตีสามารถใช้ประโยชน์จาก instances WHD ที่ยังไม่ได้แพตช์ เพื่อเข้าถึงข้อมูลรายละเอียดของระบบที่ติดตั้ง Web Help Desk ไว้ ซึ่งอาจจะทำให้สามารถโจมตีด้วยอีก 3 ช่องโหว่ที่เหลือได้ง่ายขึ้นอีกด้วย

ที่มา : bleepingcomputer

พบช่องโหว่ร้ายแรงบนปลั๊กอิน Elementor ใน WordPress ซึ่งมีผู้ติดตั้งแล้วกว่าหนึ่งล้านครั้ง

พบปลั้กอิน WordPress ที่มีการติดตั้งมากกว่าหนึ่งล้านครั้งมีช่องโหว่ที่ร้ายแรง อาจส่งให้ผลให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนเว็ปไซต์ได้

ปลั๊กอินที่เป็นปัญหาคือ Essential Addons เป็นปลั๊กอินส่วนเสริมของ Elementor ที่มีไลบรารี่ และ extension มากกว่า 80 รายการที่ช่วยในการออกแบบปรับแต่ง pages และ posts

Patchstack กล่าวในรายงานว่า "ช่องโหว่นี้สามารถเข้าถึงไฟล์ เช่น /etc/password โดยไม่สนการตรวจสอบสิทธิ์ หรือการอนุญาตการใช้งาน และวางไฟล์ที่อันตรายอย่าง PHP บนเว็บไซต์ จากนั้นจะทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (RCE)"

ช่องโหว่นี้จะเกิดขึ้นได้ก็ต่อเมื่อมีการใช้งาน widgets อย่าง dynamic gallery และ product gallery

ช่องโหว่นี้ส่งผลกระทบตั้งแต่เวอร์ชัน 5.0.4 รวมถึงเวอร์ชันก่อนหน้านี้ โดยช่องโหว่นี้ถูกค้นพบโดยนักวิจัย Wai Yan Myo Thet และช่องโหว่นี้ได้ถูกแก้ไขแล้วในเวอร์ชัน 5.0.5 ที่ปล่อยมาในวันที่ 28 มกราคม หลังจากไม่สามารถแก้ไขได้ในเวอร์ชันก่อนหน้านี้

การออกอัพเดทนี้เกิดขึ้นหลายสัปดาห์หลังจากที่มีผู้ใช้งานไม่ทราบชื่อทำการดัดแปลงธีม และปลั๊กอินของ WordPress หลายรายการที่โฮสต์บนเว็บไซต์ของนักพัฒนาเพื่อแทรกโค้ดที่อันตรายเข้าสู่ระบบหลังบ้าน (inject a backdoor) โดยมีเป้าหมายที่จะโจมตีต่อไปยังเว็บไซต์อื่นๆ

ที่มา : thehackernews

VMware ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อหลายผลิตภัณฑ์

เมื่อวันที่ 15 กุมภาพันธ์ ที่ผ่านมา VMware ได้ทำการออกแพตช์แก้ไขช่องโหว่ที่มีความรุนแรงสูงหลายช่องโหว่ ซึ่งส่งผลกระทบต่อ ESXi, Workstation, Fusion, Cloud Foundation และ NSX Data Center สำหรับ vSphere ที่อาจทำให้ผู้โจมตีสามารถใช้เพื่อสั่งรันโค้ดที่เป็นอันตรายโดยไม่ได้รับอนุญาตได้ และยังสามารถทำให้เป็นสาเหตุของเหตุการณ์ Denial-of-Service (DoS) ได้

(more…)

Google Chrome ออกอัปเดตฉุกเฉิน แก้ไขช่องโหว่ Zero-day

Google ได้ออกอัพเดท Chrome เวอร์ชัน 98.0.4758.102 สำหรับ Windows, Mac และ Linux เพื่อแก้ไขช่องโหว่ Zero-day

Google แจ้งว่าการอัปเดตตามปกติของ Chrome จะมาในไม่กี่สัปดาห์ข้างหน้า แต่อย่างไรก็ตามเนื่องจากช่องโหว่ CVE-2022-0609 เริ่มถูกใช้ในการโจมตีเป็นวงกว้าง ผู้ใช้งานสามารถทำการติดตั้งการอัปเดตได้ทันทีโดยไปที่ Chrome menu > Help > About Google Chrome เบราว์เซอร์จะตรวจสอบการอัปเดตใหม่โดยอัตโนมัติ และติดตั้งในครั้งต่อไปหลังจากที่มีการปิดและเปิด Google Chrome ใหม่อีกครั้ง

(more…)

พบช่องโหว่ระดับ Critical บนเราเตอร์ Small Business RV Series ของ CISCO

Cisco ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อเราเตอร์ RV Series หลายรายการ ซึ่งช่องโหว่เหล่านี้สามารถยกระดับสิทธิ์ในการเข้าถึง และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้ และมีคำเตือนถึง PoC (Proof-of-Concept) Exploit ที่ถูกปล่อยออกสู่สาธารณะ ทำให้อุปกรณ์ที่มีช่องโหว่ดังกล่าวมีความเสี่ยงมากยิ่งขึ้น

CVE-2022-20699, CVE-2022-20700 และ CVE-2022-20707 เป็น 3 ช่องโหว่จากทั้งหมด 15 รายการ มีคะแนน CVSS สูงสุดอยู่ที่ 10.0 และส่งผลกระทบต่อเราเตอร์ Small Business RV160, RV260, RV340 และ RV345 Series .

Cisco ยอมรับว่า " proof-of-concept exploit code สามารถใช้ได้กับช่องโหว่หลายจุด" แต่ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมใดๆ เกี่ยวกับลักษณะของการโจมตี หรือระบุตัวตนของกลุ่มผู้โจมตี

CVE-2022-20699 เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ทำหน้าที่เป็นเกตเวย์ SSL VPN ในการรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root

CVE-2022-20700, CVE-2022-20701 (คะแนน CVSS: 9.0) และ CVE-2022-20702 (คะแนน CVSS: 6.0) เกิดจากช่องโหว่บนระบบ Authorization ทำให้ผู้โจมตีสามารถใช้ช่องโหว่เพื่อยกระดับสิทธิ์เป็น root และรันคำสั่งได้ตามที่ต้องการบนระบบที่มีช่องโหว่

CVE-2022-20708 (คะแนน CVSS: 10.0) เกิดจากช่องโหว่การตรวจสอบข้อมูลของอินพุตที่ผู้ใช้ระบุ ทำให้ผู้โจมตีสามารถแทรกคำสั่งที่เป็นอันตรายบนระบบปฏิบัติการ Linux ได้

ช่องโหว่อื่นๆ ที่แก้ไขโดย Cisco มีดังนี้ :

CVE-2022-20703 (CVSS score: 9.3) – Cisco Small Business RV Series Routers Digital Signature Verification Bypass Vulnerability
CVE-2022-20704 (CVSS score: 4.8) – Cisco Small Business RV Series Routers SSL Certificate Validation Vulnerability
CVE-2022-20705 (CVSS score: 5.3) – Cisco Small Business RV Series Routers Improper Session Management Vulnerability
CVE-2022-20706 (CVSS score: 8.3) – Cisco RV Series Routers Open Plug and Play Command Injection Vulnerability
CVE-2022-20707 and CVE-2022-20749 (CVSS scores: 7.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Command Injection Vulnerabilities
CVE-2022-20709 (CVSS score: 5.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Upload Vulnerability
CVE-2022-20710 (CVSS score: 5.3) – Cisco Small Business RV Series Routers GUI Denial of Service Vulnerability
CVE-2022-20711 (CVSS score: 8.2) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Overwrite Vulnerability
CVE-2022-20712 (CVSS score: 7.3) – Cisco Small Business RV Series Routers Upload Module Remote Code Execution Vulnerability

Cisco แจ้งว่าไม่มีวิธีอื่น หรือ Workarounds ในการแก้ไขช่องโหว่ดังกล่าว และแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews

ช่องโหว่ของ KCodes NetUSB ทำให้ Router จำนวนนับล้านอาจถูกโจมตีด้วย Remote Code Execution

พบช่องโหว่ CVE-2021-45388 ในโมดูลเคอร์เนล KCodes NetUSB บนอุปกรณ์ Router ของ Vendor จำนวนนับล้านเครื่อง ช่องโหว่นี้สามารถทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่นี้ทำให้สามารถรันโค้ดจากระยะไกลได้สำเร็จในเคอร์เนล ถึงแม้จะมีข้อจำกัดบางอย่าง แต่ก็อาจเกิดผลกระทบที่รุนแรงในวงกว้างได้

ช่องโหว่นี้ถูกค้นพบโดย SentinelLabs ซึ่งมีการรายงานกับทาง Bleeping Computer ก่อนที่จะมีการเผยแพร่

NetUSB คืออะไร และมีการกำหนดเป้าหมายอย่างไร

ผู้ผลิต Router บางแบรนด์ มีการผลิต Router ที่มี port USB บนอุปกรณ์ ซึ่งอนุญาตให้ผู้ใช้งานสามารถ แชร์ Printer และ USB drivers บนเครือข่ายได้

NetUSB มีโซลูชันการเชื่อมต่อโมดูลเคอร์เนลที่พัฒนาโดย KCodes ทำให้อุปกรณ์ในเครือข่ายสามารถเชื่อมต่อกับ USB ที่เสียบเข้ากับ Router โดยตรง

SentinelOne ค้นพบช่องโหว่ใน code segment ที่อยู่ในโมดูลเคอร์เนลที่ไม่ตรวจสอบขนาดหน่วยความจำ code segment ซึ่งส่งผลให้เกิด integer overflow ได้

ฟังก์ชัน 'SoftwareBus_fillBuf' อาจเป็นช่องทางในการทำให้ติด Malware ได้ผ่านการควบคุมจากผู้โจมตี แต่ข้อจำกัดบางประการก็อาจทำให้การโจมตีช่องโหว่นี้เกิดได้ยากขึ้น

SentinelOne เตือน "ในขณะที่มีข้อจำกัดบางอย่างที่ทำให้ยากต่อการโจมตีช่องโหว่นี้ แต่เราเชื่อว่ายังมีโอกาสเป็นไปได้ ดังนั้นผู้ใช้งาน Wi-Fi routers อาจต้องอัปเดตเฟิร์มแวร์สำหรับ Router"

Vendor ที่ได้รับผลกระทบจากช่องโหว่ และการอัพเดทแพตช์

Vendor Router ที่ใช้โมดูลที่มีช่องโหว่ดังกล่าวได้แก่

Netgear
TP-Link
Tenda
EDiMAX
Dlink
Western Digital
ยังไม่ได้มีการระบุชัดเจนว่ารุ่นใดที่ได้รับผลกระทบจากช่องโหว่ CVE-2021-45388 แต่โดยทั่วไปแล้ว ควรใช้ Product ที่มีการอัปเดตฟิร์มแวร์อย่างสม่ำเสมอ

เนื่องจากช่องโหว่ดังกล่าวส่งผลกระทบต่อ Vendor จำนวนมาก Sentinel One จึงแจ้งเตือน KCodes ก่อน ในวันที่ 9 กันยายน พ.ศ. 2564 และให้ข้อมูลคริปต์ PoC ในวันที่ 4 ตุลาคม พ.ศ. 2564 เพื่อใช้ตรวจสอบความสมบูรณ์ของแพตช์หลังจากการออกอัพเดท

Netgear ออกมาอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ CVE-2021-45388 ใน Vendor ที่ได้รับผลกระทบในวันที่ 14 ธันวาคม 2564

ตามคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันที่ 20 ธันวาคม พ.ศ. 2564 Product ของ Netgear ที่ได้รับผลกระทบมีดังต่อไปนี้
D7800 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.1.68
R6400v2 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122
R6700v3 ได้รับการแก้ไขแล้ว บนเวอร์ชั่น 1.0.4.122

โซลูชันที่ Netgear เพิ่มเข้ามาใหม่คือฟังก์ชัน 'supplied size' เพื่อป้องกัน out-of-bounds write

ที่มา : bleepingcomputer

*Timeline การเปิดเผยข้อมูล*
09 ก.ย. 2564 - มี Email ส่งถึง KCodes เพื่อขอข้อมูลเกี่ยวกับวิธีการแจ้งข้อมูลช่องโหว่
20 ก.ย. 2564 - KCodes ได้รับรายละเอียดช่องโหว่ และคำแนะนำการแก้ไขช่องโหว่
04 ต.ค. 2021 - KCodes ได้รับสคริปต์ PoC เพื่อตรวจสอบความสมบูรณ์ของแพตช์
19 พ.ย. 2564 - KCodes ยืนยันว่าได้ส่งแพตช์ไปยัง Vendor ทุกรายแล้ว ไม่ใช่แค่ Netgear และเฟิร์มแวร์จะออกก่อนวันที่ 20 ธันวาคม
14 ธ.ค. 2564 - พบว่า Netgear ได้ออกเฟิร์มแวร์สำหรับอุปกรณ์ R6700v3 ที่พร้อมใช้แล้ว
20 ธ.ค. 2564 - Netgear เผยแพร่คำแนะนำสำหรับช่องโหว่ต่อสาธารณะ

Apache ประกาศอัพเดท Patch แก้ไขช่องโหว่ Zero-day

เมื่อวันที่ 5 ตุลาคมที่ผ่านมานี้ ทาง Apache HTTP Server Project ได้มีการออก Patch สำหรับแก้ไข 2 ช่องโหว่

CVE-2021-41524 ซึ่งเป็นช่องโหวที่ตรวจพบ Null Pointer ระหว่างการประมลผลคำขอ HTTP-2 ซึ่งจะช่วยให้ผู้โจมตีทำการโจมตีแบบ Denial of service (DOS) บน Server ได้ ซึ่งล่าสุดยังไม่พบว่าถูกนำมาใช้สำหรับการโจมตี

CVE-2021-41773 ซึ่งเป็นช่องโหว่การข้ามเส้นทางและการเข้าถึงไฟล์ใน Apache HTTP Server ซึ่งเป็น Open-source web server สำหรับ Unix และ Windows ซึ่ง Apache HTTP Server นั้นพบมีการใช้โจมตีอย่างแพร่หลายมากที่สุด

CVE-2021-41773 นั้นถูกนำมาใช้โจมตีกับ Apache HTTP Server ด้วยวิธีการ Path Traversal ใน Version.

Microsoft ออกอัพเดทแก้ไขช่องโหว่ Windows PrintNightmare ที่เหลืออยู่ก่อนหน้านี้

Microsoft ออกอัพเดทแก้ไขช่องโหว่ Windows PrintNightmare ที่เหลืออยู่ก่อนหน้านี้

Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ล่าสุดที่เหลืออยู่ของ PrintNightmare ซึ่งอนุญาตให้ผู้โจมตีได้รับสิทธิ์ในระดับผู้ดูแลระบบบน Windows เรียบร้อยแล้ว

ในเดือนมิถุนายน ช่องโหว่ zero-day ของ Windows print spooler ที่ชื่อว่า PrintNightmare (CVE-2021-34527) ถูกเปิดเผยออกมาโดยไม่ได้ตั้งใจ ช่องโหว่เกิดจาก Windows Point and Print ซึ่งทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) และได้รับสิทธิ์ SYSTEM บนระบบอีกด้วย

แม้ว่า Microsoft จะออกอัปเดตความปลอดภัยสองรายการเพื่อแก้ไขช่องโหว่ต่างๆ ของ PrintNightmare ไปแล้วก่อนหน้านี้ แต่นักวิจัยด้านความปลอดภัย Benjamin Delpy ยังพบว่าการโจมตีในลักษณะที่ได้รับสิทธิ์ SYSTEM บนระบบยังสามารถทำได้ผ่านทาง Remote print server

การทดสอบช่องโหว่ของ Delpy ใช้วิธีการสั่ง CopyFiles directive ทำการคัดลอก และเรียกใช้ DLL ที่เป็นอันตราย บนเครื่องที่ผู้ใช้ติดตั้ง Remote printer เมื่อการโจมตีด้วยการรัน DLL ที่เป็นอันตรายได้สำเร็จ จะสามารถเปิด Command Prompt ขึ้นมาได้โดยอัตโนมัติ ซึ่งคำสั่งทั้งหมดจะถูกดำเนินการด้วยสิทธิ์ SYSTEM privileges ทันที

แย่ไปกว่านั้น กลุ่ม Ransomware ที่ชื่อว่า Vice Society, Magniber และ Conti ได้เริ่มใช้วิธีการนี้ในการยกระดับสิทธิ์ของ User เมื่อเข้าควบคุมเครื่องเหยื่อได้แล้ว

ช่องโหว่ PrintNightmare ที่ยังเหลืออยู่นี้ได้หมายเลข CVE-2021-36958 และถือว่า Victor Mata จาก Fusion X, Accenture Security เป็นผู้ค้นพบ เนื่องจากเป็นผู้รายงานช่องโหว่นี้ให้กับ Microsoft เป็นครั้งแรกในช่วงเดือนธันวาคมปี 2020

Security update ล่าสุดแก้ไขช่องโหว่ของ PrintNightmare ครบหมดแล้ว

ในการอัปเดต Patch Tuesday เดือนกันยายน 2021 Microsoft ได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2021-36958 ซึ่งแก้ไขช่องโหว่ PrintNightmare ที่เหลืออยู่ Delpy ผู้ทดสอบช่องโหว่ยืนยันกับ BleepingComputer ว่าช่องโหว่นี้ได้รับการแก้ไขแล้ว นอกเหนือจากการแก้ไขช่องโหว่แล้ว Benjamin Delpy ยังบอกกับ BleepingComputer ว่า Microsoft ได้ปิดใช้งานคุณลักษณะ CopyFiles โดยค่าเริ่มต้น และเพิ่ม Group policy ซึ่งช่วยให้ผู้ดูแลระบบสามารถเปิดใช้งานได้อีกครั้ง นโยบายนี้สามารถกำหนดค่าได้ใน Windows Registry ภายใต้คีย์ HKLM\Software\Policies\Microsoft\Windows NT\Printers และโดยการเพิ่มค่าชื่อ CopyFilesPolicy เมื่อตั้งค่าเป็น '1' ระบบจะเปิดใช้งาน CopyFiles อีกครั้ง ซึ่งแม้จะเปิดใช้งานแล้ว Benjamin Delpy บอก BleepingComputer ว่า Microsoft จะอนุญาตให้ใช้เฉพาะไฟล์ C:\Windows\System32\mscms.

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

ช่องโหว่ Atlassian Confluence ที่สามารถทำให้ผู้โจมเข้าถึง Server ได้

เมื่อวันที่ 25 สิงหาคม 2564 ที่ผ่านมา ทาง Atlassian ได้ออกคำแนะนำด้านความปลอดภัยสำหรับช่องโหว่ CVE-2021-26084 - Confluence Server Webwork OGNL injection CVSS:9.8 ที่สามารถให้ผู้โจมตีทำการสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บน Server ที่มีช่องโหว่ ซึ่งช่องโหว่ดังกล่าวเกิดจาก Open-source expression language (OGNL Injection) เป็นช่องโหว่ที่ทำให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ หรือบางครั้งผู้ใช้ที่ไม่ผ่านการตรวจสอบ ก็สามารถรันโค้ดบนเซิฟเวอร์ Confluence หรือ Data Center instance ได้ และล่าสุดพบว่ามีผู้โจมตีจากหลายๆ ประเทศทำการทดสอบ exploit servers เพื่อดาวน์โหลด และเรียกใช้ PowerShell script หรือ Linux Shell script

 

และ Bad Packets ที่เป็นบริษัทด้านความปลอดภัยได้ยืนยันว่าพบผู้โจมตีกำลังพยายามติดตั้ง XMRig cryptocurrency miner บน Windows Server และ Linux Confluence Servers เพื่อขุด Monero และถึงแม้ว่าในขณะนี้จะพบว่าช่องโหว่ดังกล่าวถูกใช้แค่ในการขุด cryptocurrency แต่ก็ไม่ได้หมายความว่าอนาคตกลุ่มแฮกเกอร์จะไม่โจมตีระบบด้วยวิธีการที่มีความรุนแรงมากกว่านี้ โดยเฉพาะหาก confluence server ติดตั้งแบบ host on-premise ซึ่งอาจทำให้เกิดการแพร่กระจายผ่านเครือข่าย และอาจนำไปสู่การโจมตี Ransomware และการขโมยข้อมูลได้

 

ลูกค้าของ Atlassian ที่อัพเกรดเป็นเวอร์ชั่น 6.13.23, 7.11.6, 7.12.5, 7.13.0 หรือ 7.4.11 แล้วจะไม่ได้รับผลกระทบ

ระบบ Confluence Server และ Confluence Data Center ที่ได้รับผลกระทบ

All 4.x.x versions
All 5.x.x versions
All 6.0.x versions
All 6.1.x versions
All 6.2.x versions
All 6.3.x versions
All 6.4.x versions
All 6.5.x versions
All 6.6.x versions
All 6.7.x versions
All 6.8.x versions
All 6.9.x versions
All 6.10.x versions
All 6.11.x versions
All 6.12.x versions
All 6.13.x versions before 6.13.23
All 6.14.x versions
All 6.15.x versions
All 7.0.x versions
All 7.1.x versions
All 7.2.x versions
All 7.3.x versions
All 7.4.x versions before 7.4.11
All 7.5.x versions
All 7.6.x versions
All 7.7.x versions
All 7.8.x versions
All 7.9.x versions
All 7.10.x versions
All 7.11.x versions before 7.11.6
All 7.12.x versions before 7.12.5

คำแนะนำ

หากกำลังใช้งานเวอร์ชันที่ได้รับผลกระทบ ให้อัปเกรดเป็นเวอร์ชัน 7.13.0 (LTS) หรือสูงกว่า
หากใช้เวอร์ชัน 6.13.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 6.13.23
หากใช้เวอร์ชัน 7.4.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.4.11
หากใช้เวอร์ชัน 7.11.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.11.6
หากใช้เวอร์ชัน 7.12.x และไม่สามารถอัปเกรดเป็น 7.13.0 (LTS) ได้ ให้อัปเกรดเป็นเวอร์ชัน 7.12.5

หรือถ้าหากไม่สามารถอัพเดทได้ในทันที สามารถแก้ไขเบื้องต้นได้ตามลิงค์ด้านล้างนี้ในหัวข้อ Mitigateon (confluence.

แฮกเกอร์ปล่อยข้อมูล Account ของ Fortinet VPN ออกมากว่า 500,000 บัญชี และมีข้อมูลขององค์กรในประเทศไทยด้วย

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel