พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี

Fortinet บริษัทด้านความปลอดภัยทางไซเบอร์ แจ้งเตือนการพบ Gafgyt botnet ที่กำลังโจมตีโดยการใช้ช่องโหว่บน Zyxel router P660HN-T1A ที่หมดอายุการใช้งานไปแล้ว ซึ่งพบการโจมตีนับพันครั้งต่อวัน

CVE-2017-18368 เป็นช่องโหว่ระดับ Critical (คะแนน CVSS v3: 9.8) ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในฟังก์ชัน Remote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2017 โดยส่งผลกระทบต่ออุปกรณ์ที่ใช้ firmware versions 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่า

Mirai botnet มุ่งเป้าการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Zyxel, Netgear

ทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks รายงานการพบแคมเปญการโจมตีโดยใช้ Mirai botnet ในการโจมตีต่อเนื่องกัน 2 แคมเปญ โดยพบการโจมตีตั้งแต่เดือนมีนาคมจนถึงเมษายน 2023 ซึ่งได้มุ่งเป้าหมายการโจมตีไปยังช่องโหว่กว่า 22 รายการ ในอุปกรณ์ D-Link, Arris, Zyxel, TP-Link, Tenda, Netgear และ MediaTek เพื่อควบคุมเครื่องเป้าหมาย และนำไปใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS) ต่อไป (more…)

Zyxel ออกคำแนะนำในการปกป้องไฟร์วอลล์จากการโจมตีอย่างต่อเนื่องจากช่องโหว่

Zyxel ได้เผยแพร่คำแนะนำด้านความปลอดภัยที่มีคำแนะนำเกี่ยวกับการปกป้องไฟร์วอลล์ และอุปกรณ์ VPN จากการโจมตีอย่างต่อเนื่อง และการตรวจจับสัญญาณของการโจมตีจากช่องโหว่

คำเตือนดังกล่าวป็นการตอบสนองต่อการโจมตีโดยใช้ช่องโหว่ที่มีระดับความรุนแรงสูงหมายเลข CVE-2023-28771, CVE-2023-33009 และ CVE-2023-33010 อย่างกว้างขวาง ซึ่งทั้งหมดนี้ส่งผลกระทบต่ออุปกรณ์ VPN และไฟร์วอลล์ของ Zyxel

Zyxel พบว่ามี botnet ได้ใช้ประโยชน์จากช่องโหว่ CVE-2023-28771 เพื่อดำเนินการคำสั่งที่เป็นอันตรายจากระยะไกล (remote command execution) ผ่านแพ็กเก็ตที่เป็นอันตรายที่สร้างขึ้นเป็นพิเศษ รวมถึงช่องโหว่อีก 2 รายการ ได้แก่ CVE-2023-33009 และ CVE-2023-33010 ซึ่งเป็นช่องโหว่ buffer overflow ที่ทำให้ Hacker สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ denial of service (DoS) บนอุปกรณ์ที่มีช่องโหว่ หรือเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้

ตารางสรุปผลิตภัณฑ์ Zyxel ที่ได้รับผลกระทบ เวอร์ชันที่มีช่องโหว่ และเวอร์ชันอัปเดตความปลอดภัยสำหรับแต่ละรายการ

ลักษณะของปัญหา และการแก้ไข

Zyxel ระบุว่าลักษณะ หรือตัวบ่งชี้ที่ชัดเจนว่าอุปกรณ์ดังกล่าวได้ถูกโจมตีไปแล้ว นั่นคือการไม่ตอบสนอง และไม่สามารถเข้าถึงอินเทอร์เฟซผู้ใช้งานบนเว็บ หรือ SSH management panel ของอุปกรณ์ได้ รวมไปถึงความไม่เสถียรของการเชื่อมต่อ และการ VPN

คำแนะนำของ Zyxel คือการอัปเดตแพตซ์ด้านความปลอดภัย ได้แก่ 'ZLD V5.36 Patch 2' สำหรับ ATP – ZLD, USG FLEX และ VPN-ZLD และ 'ZLD V4.73 Patch 2' สำหรับ ZyWALL

ทั้งนี้หากผู้ดูแลระบบยังไม่สามารถทำการอัปเดตความปลอดภัยได้ทันที ทาง Zyxel แนะนำให้ดำเนินมาตรการเพื่อลดผลกระทบจากการโจมตี ดังนี้

ปิดใช้บริการ HTTP/HTTPS จาก WAN (Wide Area Network) เพื่อลดความเสี่ยงจากการเข้าถึงระบบที่มีช่องโหว่จากภายนอก
หากผู้ดูแลระบบจำเป็นต้องจัดการอุปกรณ์ผ่าน WAN ควรเปิดใช้งาน 'Policy Control' และเพิ่ม Rules ที่อนุญาตเฉพาะที่อยู่ IP ที่เชื่อถือได้เท่านั้นในการเข้าถึงอุปกรณ์
ทำการเปิดใช้การกรอง GeoIP เพื่อจำกัดการเข้าถึงของผู้ใช้งาน/ระบบจากสถานที่ที่เชื่อถือได้เท่านั้น
ปิด UDP Port 500 และ Port 4500 หากไม่ได้ใช้งาน IPSec VPN ซึ่งเป็นการปิดช่องทางสำหรับการโจมตี

 

ที่มา : bleepingcomputer

Zyxel แจ้งเตือนช่องโหว่ระดับ critical ที่ส่งผลต่อ Firewall และ VPN

Zyxel แจ้งเตือนช่องโหว่ด้านความปลอดภัยระดับ Critical 2 รายการ ในผลิตภัณฑ์ไฟร์วอลล์ และ VPN ในหลายรุ่น ส่งผลให้ผู้โจมตีสามารถเข้าถึงเครือข่ายได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ โดยช่องโหว่ที่เกิดขึ้นนั้นเป็นช่องโหว่ Buffer overflows ซึ่งอาจส่งผลให้เกิด denial of service (DoS) และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) (more…)

มัลแวร์ตัวใหม่ Zerobot มีเครื่องมือใช้โจมตีช่องโหว่กว่า 21 รายการบนอุปกรณ์ BIG-IP, Zyxel และ D-Link

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Fortinet พบมัลแวร์ตัวใหม่ "Zerobot" มีการโจมตีโดยใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ต่างๆ เช่น F5 BIG-IP, Zysel Firewall, Totolink, D-Link และ Hikvision

โดยจุดประสงค์ของมัลแวร์คือการเข้ายึดครองอุปกรณ์ที่ถูกโจมตี เพื่อนำมาใช้เป็น botnet สำหรับใช้ในการโจมตีแบบ Denial of Service (DDoS) โดยเมื่อมัลแวร์ทำงานจะมีการดาวน์โหลดสคริปต์ที่ชื่อว่า Zero เพื่อใช้ในการแพร่กระจายไปยังอุปกรณ์ที่อยู่ใกล้เคียงกัน และมีการรันคำสั่งบน Windows หรือ Linux ด้วย รวมถึงมีการติดตั้ง WebSocket เพื่อใช้เชื่อมต่อกับ command and control (C2) server โดยคำสั่งที่ผู้เชี่ยวชาญพบคือ Ping, attack, stop, update, scan, command และ kill นอกจากนี้มัลแวร์ยังถูกออกแบบมาเพื่อป้องกันการถูกสั่ง kill ตัวเองอีกด้วย

Zerobot จะโจมตีเป้าหมายโดยใช้ช่องโหว่ดังต่อไปนี้:

CVE-2014-08361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG523 router
CVE-2018-12613: phpMyAdmin
CVE-2020-10987: Tenda AC15 AC1900 router
CVE-2020-25506: D-Link DNS-320 NAS
CVE-2021-35395: Realtek Jungle SDK
CVE-2021-36260: Hikvision product
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-01388: F5 BIG-IP
CVE-2022-22965: Spring MVC and Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

 

ที่มา : bleepingcomputer

CISA เตือนผู้ดูแลระบบให้รีบแก้ไขช่องโหว่ Spring, Zyxel โดยด่วน

Cybersecurity and Infrastructure Security Agency (CISA) ได้เพิ่มช่องโหว่อีก 2 รายการเข้าสุ่รายการเฝ้าระวังช่องโหว่ร้ายแรงที่กำลังถูกนำมาใช้ในการโจมตีจริง ช่องโหว่แรกคือช่องโหว่ code injection บน Spring Cloud Gateway library และอีกหนึ่งช่องโหว่ command injection ในเฟิร์มแวร์ของ Zyxel บนอุปกรณ์ไฟร์วอลล์ และ VPN

โดยช่องโหว่ Spring Framework (CVE-2022-22947) เป็นช่องโหว่ระดับ Critical ที่สามารถทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้บนเครื่องที่ยังไม่ได้อัปเดตแพตซ์

ซึ่งปัจจุบัน Botnet ที่รู้จักกันในชื่อ Sysrv เริ่มดำเนินการโจมตีเพื่อติดตั้งมัลแวร์ cryptomining บนเซิร์ฟเวอร์ Windows และ Linux ที่มีช่องโหว่

ผู้โจมตียังโจมตีโดยใช้ช่องโหว่ในเฟิร์มแวร์ของ Zyxel (CVE-2022-30525) ซึ่งพึ่งได้รับการแก้ไขไปเมื่อวันที่ 12 พฤษภาคม และเริ่มพบการโจมตีทันทีหลังจากวันที่ทาง Zyxel ออกแพตซ์อัปเดตออกมา

Rapid7 พบผลิตภัณฑ์ของ Zyxel ที่มีช่องโหว่มากกว่า 15,000 เครื่องที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ในขณะที่ Shadowserver ตรวจพบอุปกรณ์ที่อาจได้รับผลกระทบอย่างน้อย 20,000 เครื่อง

นับตั้งแต่การโจมตีเริ่มต้นขึ้น Rob Joyce ผู้อำนวยการด้านความปลอดภัยทางไซเบอร์ของ NSA ยังเตือนผู้ดูแลระบบเกี่ยวกับการโจมตีที่เริ่มพบมากขึ้นเรื่อยๆ และแนะนำให้รีบอัปเดตเฟิร์มแวร์ของไฟร์วอลล์ Zyxel โดยเร็วที่สุด

(more…)

Hackers start exploiting the new backdoor in Zyxel devices

แฮกเกอร์เริ่มใช้ประโยชน์จากบัญชีผู้ใช้ลับในอุปกรณ์ Zyxel ทำการสแกนอุปกรณ์เพื่อเข้าสู่เครือข่าย

จากข่าวการเปิดเผยบัญชีผู้ใช้ลับในอุปกรณ์ Zyxel โดย Niels Teusink จากบริษัท Eye Control บริษัทรักษาความปลอดภัยทางไซเบอร์ของเนเธอร์แลนด์ ซึ่งได้เปิดเผยบัญชีผู้ใช้ลับ 'zyfwp' ที่สามารถทำให้ผู้ใช้เข้าสู่ระบบผ่าน SSH และเว็บอินเตอร์เฟสเพื่อรับสิทธิ์ของผู้ดูแลระบบได้ในอุปกรณ์ไฟร์วอลล์ Zyxel และ AP controller โดยบัญชีผู้ใช้ลับนี้มีความเสี่ยงอย่างมากเนื่องจากอาจทำให้ผู้ประสงค์ร้ายสามารถสร้างบัญชี VPN เพื่อเข้าถึงเครือข่ายภายในหรือฟอร์เวิร์ดพอร์ตบริการภายในเพื่อให้เข้าถึงและใช้ประโยชน์ได้จากระยะไกล

สอดคล้องกับการรายงานจาก Andrew Morris ซีอีโอของบริษัท GreyNoise บริษัทข่าวกรองด้านความปลอดภัยทางไซเบอร์ที่ได้ตรวจพบ IP addresses ที่แตกต่างกันสามแห่งกำลังพยายามสแกนหาอุปกรณ์ Zyxel และพยายามเข้าสู่ระบบโดยใช้บัญชีผู้ใช้ลับของอุปกรณ์ Zyxel

ทั้งนี้ Zyxel ได้เปิดตัวเฟิร์มแวร์ 'ZLD V4.60 Patch 1' เมื่อเดือนที่ผ่านมา โดยเฟิร์มแวร์จะลบบัญชีลับๆ บนอุปกรณ์ไฟร์วอลล์ Zyxel และสำหรับ AP controllers ทาง Zyxel ประกาศว่าจะปล่อยแพตช์ในวันที่ 8 มกราคม 2021 นี้ ผู้ใช้และผู้ดูแลระบบควรรีบทำการอัปเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากบัญชีลับของอุปกรณ์ไฟร์วอลล์ Zyxel และสำหรับ AP controllers ทำการโจมตี

ที่มา: bleepingcomputer.

Backdoor account discovered in more than 100,000 Zyxel firewalls, VPN gateways

นักวิจัยค้นพบบัญชีผู้ใช้ลับในอุปกรณ์ไฟร์วอลล์ Zyxel ซึ่งจะทำให้องค์กรต่างๆ ตกอยู่ในความเสี่ยง

นักวิจัยด้านความปลอดภัยจาก Eye Control ได้พบบัญชีผู้ใช้ลับบนอุปกรณ์ไฟร์วอลล์ Zyxel ซึ่งจะทำให้อุปกรณ์ไฟร์วอลล์ Zyxel มากกว่า 100,000 รายการ, VPN gateway และ Access point controller ตกอยู่ในความเสี่ยงเนื่องจากบัญชีผู้ใช้ลับที่ถูกค้นพบ

นักวิจัยกล่าวว่าพวกเขาได้ค้นพบบัญชีผู้ใช้ลับและถูกติดตามด้วยรหัส CVE-2020-29583 ซึ่งมีบัญชีผู้ใช้คือ "zyfwp" และรหัสผ่าน "PrOw!aN_fXp" โดยบัญชีผู้ใช้ดังกล่าวจะสามารถทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงระบบ Root และยังสามารถทำการติดตั้งการอัปเดตเฟิร์มแวร์บนอุปกรณ์ Zyxel อื่นๆ ที่เชื่อมต่อกันผ่าน FTP ได้

นักวิจัยกล่าวอีกว่าบัญชีผู้ใช้ลับที่ถูกค้นพบนั้นจะส่งผลกระทบกับอุปกรณ์ Zyxel เป็นจำนวนมากและถูกติดตั้งในในเครือข่ายองค์กร, เอกชนและภาครัฐ สำหรับรุ่นที่ได้รับผลกระทบมีดังนี้

ซีรีส์ Advanced Threat Protection (ATP) - ถูกใช้เป็นไฟร์วอลล์เป็นหลัก
ชุด Unified Security Gateway (USG) - ถูกใช้เป็นไฮบริดไฟร์วอลล์และ VPN เกตเวย์
USG FLEX series - ถูกใช้เป็นไฮบริดไฟร์วอลล์และ VPN เกตเวย์
ซีรีส์ VPN - ถูกใช้เป็น VPN เกตเวย์
ซีรีส์ NXC - ถูกใช้เป็นตัวควบคุมจุดเชื่อมต่อ WLAN

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพตช์เป็นการด่วน โดยในขณะนี้แพตช์มีให้บริการจะมีเฉพาะสำหรับซีรีส์ ATP, USG, USG Flex และ VPN สำหรับแพทช์ชุด NXC ที่คาดว่าจะมีการอัปเดตในเดือนเมษายน 2021 ตามคำแนะนำความปลอดภัยจาก Zyxel

ที่มา : zdnet | zyxel