CISA เตือนผู้ดูแลระบบให้รีบแก้ไขช่องโหว่ Spring, Zyxel โดยด่วน

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่อีก 2 รายการเข้าสุ่รายการเฝ้าระวังช่องโหว่ร้ายแรงที่กำลังถูกนำมาใช้ในการโจมตีจริง ช่องโหว่แรกคือช่องโหว่ code injection บน Spring Cloud Gateway library และอีกหนึ่งช่องโหว่ command injection ในเฟิร์มแวร์ของ Zyxel บนอุปกรณ์ไฟร์วอลล์ และ VPN

โดยช่องโหว่ Spring Framework (CVE-2022-22947) เป็นช่องโหว่ระดับ Critical ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนเครื่องที่ยังไม่ได้อัปเดตแพตซ์

ซึ่งปัจจุบัน Botnet ที่รู้จักกันในชื่อ Sysrv เริ่มดำเนินการโจมตีเพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

ผู้โจมตียังโจมตีโดยใช้ช่องโหว่ในเฟิร์มแวร์ของ Zyxel (CVE-2022-30525) ซึ่งพึ่งได้รับการแก้ไขไปเมื่อวันที่ 12 พฤษภาคม และเริ่มพบการโจมตีทันทีหลังจากวันที่ทาง Zyxel ออกแพตซ์อัปเดตออกมา

Rapid7 พบผลิตภัณฑ์ของ Zyxel ที่มีช่องโหว่มากกว่า 15,000 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ในขณะที่ Shadowserver ตรวจพบอุปกรณ์ที่อาจได้รับผลกระทบอย่างน้อย 20,000 เครื่อง

นับตั้งแต่การโจมตีเริ่มต้นขึ้น Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA ยังเตือนผู้ดูแลระบบเกี่ยวกับการโจมตีที่เริ่มพบมากขึ้นเรื่อยๆ และแนะนำให้รีบอัปเดตเฟิร์มแวร์ของไฟร์วอลล์ Zyxel โดยเร็วที่สุด

(more…)

Microsoft แก้ไขช่องโหว่ Zero-day NTLM relay ใน Windows ทุกเวอร์ชัน

Microsoft แจ้งเตือนช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีในลักษณะ Windows LSA spoofing ซึ่งจะทำให้ผู้โจมตีที่ไม่ต้องผ่านการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่เพื่อบังคับให้ตัว Domain controllers รับรองให้ผู้โจมตีสามารถเข้าถึงระบบได้ ผ่านโปรโตคอล Windows NT LAN Manager (NTLM)

LSA (Local Security Authority) เป็นระบบหนึ่งของ Windows ที่ทำหน้าที่ในการ enforces local policies และตรวจสอบการ sign-in เข้าใช้งานของ users ทั้งจาก local และ remote

ช่องโหว่ดังกล่าว มีหมายเลขช่องโหว่คือ CVE-2022-26925 โดยมีการรายงานช่องโหว่จาก Raphael John ของ Bertelsmann Printing Group ซึ่งพบว่าถูกนำไปใช้ในการโจมตีจริงแล้วในปัจจุบัน และจะเป็นช่องทางใหม่สำหรับการโจมตีแบบ PetitPotam NTLM relay attack

การโจมตีแบบ PetitPotam ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย GILLES Lionel ในเดือนกรกฎาคม พ.ศ. 2564 โดยมีความพยายามจากทาง Microsoft ในการบล็อกการโจมตีในรูปแบบดังกล่าว อย่างไรก็ตามวิธีการแก้ไขปัญหาชั่วคราว และการอัปเดตความปลอดภัยจาก Microsoft ที่มีการอัปเดตออกมา ก็ยังไม่สามารถบล็อกการโจมตีด้วยวิธีการ PetitPotam ทั้งหมด

กลุ่ม LockFile ransomware ก็เป็นหนึ่งในกลุ่มที่ใช้วิธีการโจมตีแบบ PetitPotam NTLM relay ด้วยการ hijack ตัว Windows domains เพื่อติดตั้ง payloads ที่เป็นอันตราย

Microsoft แนะนำให้ผู้ดูแลระบบ Windows ตรวจสอบวิธีการลดผลกระทบจากการโจมตีแบบ PetitPotam และมาตรการการลดผลกระทบใน NTLM Relay Attacks บน Active Directory Certificate Services (AD CS) โดยสามารถตรวจสอบได้จากลิงค์ https://support.