CISA ประกาศข้อบังคับให้หน่วยงานรัฐบาลกลางดำเนินการรักษาความปลอดภัย Microsoft 365 Tenants

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive - BOD 25-01) เพื่อให้หน่วยงานของรัฐบาลกลางได้นำไปปฏิบัติเพื่อรักษาความปลอดภัยให้กับระบบคลาวด์

    ในช่วงที่ CISA ได้กำหนดมาตรฐานการตั้งค่าความปลอดภัย (Secure Configuration baselines - SCBs) สำหรับ Microsoft 365 เสร็จสมบูรณ์แล้วนั้น ก็ยังมีแผนที่จะประกาศมาตรฐานเพิ่มเติมสำหรับแพลตฟอร์มคลาวด์อื่น ๆ เช่นกัน โดยเริ่มที่ Google Workspace (ซึ่งคาดการณ์ว่าจะถูกรวมอยู่ในประกาศในไตรมาสที่ 2 ของปีงบประมาณ 2025)

    คำสั่งปฏิบัติการนี้นั้นมีเป้าหมายเพื่อลด attack surface ในระบบเครือข่ายของรัฐบาล โดยกำหนดให้มีการปฏิบัติตามมาตรฐานที่เหมาะสมเพื่อป้องกันระบบ และทรัพย์สินของหน่วยงานของรัฐบาลกลาง (Federal Civilian Executive Branch - FCEB)

    BOD 25-1 กำหนดให้หน่วยงาน FCEB ติดตั้งเครื่องมือประเมินการตั้งค่า ซึ่งถูกพัฒนาโดย CISA (ScubaGear for Microsoft 365 audits), รวมเข้ากันกับระบบโครงสร้างพื้นฐานของระบบตรวจสอบความปลอดภัยทางไซเบอร์อย่างต่อเนื่องของหน่วยงาน, และดำเนินการแก้ไขการตั้งค่าที่แตกต่างไปจากค่ามาตรฐานภายในระยะเวลาที่กำหนด

    CISA ยังระบุเพิ่มเติมในวันที่ 17 ธันวาคม 2024 ว่า “เหตุการณ์ความเสียหายด้านความมั่นคงปลอดภัยไซเบอร์ล่าสุดนั้น แสดงให้เห็นถึงความเสี่ยงสำคัญ ซึ่งส่วนใหญ่เกิดจากการตั้งค่าที่ผิดพลาด และระบบควบคุมความปลอดภัยที่อ่อนแอ จึงทำให้ผู้ไม่ประสงค์ดีสามารถใช้งานช่องโหว่ดังกล่าวในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต, การโจรกรรมข้อมูล หรือรบกวนการให้บริการได้”

    "คำสั่งปฏิบัติการนี้ กำหนดให้หน่วยงานพลเรือนดำเนินการระบุ Cloud tenants, ติดตั้งเครื่องมือสำหรับประเมินผล และทำให้สภาพแวดล้อมของคลาวด์สอดคล้องกับมาตรการการตั้งค่าความปลอดภัยสำหรับแอปพลิเคชันธุรกิจบนระบบคลาวด์ (Secure Cloud Business Applicaitons - SCuBA) ของ CISA"

สำหรับ Cloud Tenants ที่อยู่ในขอบเขตของคำสั่งนี้, หน่วยงาน FCEB ต้องดำเนินการตามขั้นตอนดังต่อไปนี้:

• ระบุ Cloud Tenants ในขอบเขตของคำสั่งปฏิบัติการนี้ทั้งหมดให้แล้วเสร็จ ไม่เกินวันศุกร์ที่ 21 กุมภาพันธ์ 2025
• ติดตั้งเครื่องมือประเมินผล SCuBA สำหรับ Cloud Tenant ทั้งหมดในขอบเขตของคำสั่งปฏิบัติการนี้ให้แล้วเสร็จ ไม่เกินวันศุกร์ที่ 25 เมษายน 2025 และเริ่มรายงานผลอย่างต่อเนื่องตามข้อกำหนดของคำสั่งนี้
• ดำเนินการตามนโยบาย SCuBA ที่เป็นภาคบังคับทั้งหมดที่มีผลตั้งแต่วันที่ออกคำสั่งนี้ให้แล้วเสร็จภายในวันศุกร์ที่ 20 มิถุนายน 2025
• ใช้งานการอัปเดตที่จะเกิดขึ้นในอนาคตตามนโยบาย SCuBA
• ใช้งานการตั้งค่าความปลอดภัย SCuBA ที่เป็นภาคบังคับทั้งหมด และเริ่มตรวจสอบอย่างต่อเนื่องในส่วนของ Cloud Tenants ใหม่ ก่อนที่จะอนุมัติสิทธิ์ให้ใช้งาน (Authorization to Operate - ATO)
• ในปัจจุบัน สามารถตรวจสอบรายการนโยบายที่เป็นข้อบังคับได้ทางเว็บไซต์ Requred Configurations ซึ่งในขณะนี้ประกอบไปด้วยมาตรฐานการตั้งค่าความปลอดภัยสำหรับผลิตภัณฑ์ Microsoft 365, รวมถึง Azure Active Directory / Entra ID, Microsoft Defender, Exchange Online, Power Platform, SharePoint Online & OneDrive และ Microsoft Teams

    ถึงแม้ว่า BOD 25-01 จะบังคับใช้กับหน่วยงานของรัฐบาลกลางเพียงเท่านั้น แต่ทาง CISA ยังคงแนะให้หน่วยงาน หรือองค์กรอื่น ๆ ให้ตระหนักถึงความสำคัญของความปลอดภัยในสภาพแวดล้อมคลาวด์ รวมทั้งนำคำสั่งนี้ไปใช้งานเพื่อลด Attack Surface และความเสี่ยงจากการละเมิดข้อมูลอย่างมีนัยสำคัญ

    ในปีที่แล้ว CISA ได้ออกคำสั่งปฏิบัติภาคบังคับ (BOD 23-02) เพื่อให้หน่วยงานของรัฐบาลกลางรักษาความปลอดภัยอุปกรณ์เครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต หรือเมื่อมีการตั้งค่าผิดพลาดภายใน 14 วัน นับตั้งแต่วันที่พบการตั้งค่าดังกล่าว

    ก่อนหน้านั้นสองปี, คำสั่งปฏิบัติภาคบังคับ (BOD 22-1) ของหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ ได้กำหนดให้หน่วยงาน FCEB ลดความเสี่ยงที่เพิ่มขึ้นจากช่องโหว่ที่เคยถูกโจมตี โดยการลดความเสี่ยง (Mitigation) ภายในระยะเวลาที่กำหนดอย่างเข้มงวด

Ref : bleepingcomputer

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ระดับ Critical (CVSS 9.9) บนระบบ Meeting Management

    Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้

    ช่องโหว่นี้มีหมายเลข CVE-2025-20156 และมีคะแนน CVSS 9.9 เต็ม 10.0 ซึ่งถือว่าเป็นช่องโหว่การยกระดับสิทธิ์ใน REST API ของ Cisco Meeting Management

    Cisco ระบุว่า “ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการ enforced authorization ที่เหมาะสมสำหรับผู้ใช้ REST API ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง API request ไปยัง specific endpoint” หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ในระดับผู้ดูแลระบบ และจะสามารถควบคุม edge nodes ที่ managed โดย Cisco Meeting Management ได้

    Cisco ให้เครดิตแก่ Ben Leonard-Lagarde จาก Modux เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชั่นของผลิตภัณฑ์ดังต่อไปนี้:

• Cisco Meeting Management เวอร์ชัน 3.9 (ได้รับการแก้ไขแล้วในเวอร์ชั่น 3.9.1)
• Cisco Meeting Management เวอร์ชัน 3.8 และเวอร์ชันก่อนหน้า (ควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไข)
• Cisco Meeting Management เวอร์ชัน 3.10 (ไม่ได้รับผลกระทบ)

    Cisco ยังได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ BroadWorks ซึ่งเกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมสำหรับ Session Initiation Protocol (SIP) requests บางประเภท (CVE-2025-20165, คะแนน CVSS: 7.5) โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน RI.2024.11

    Cisco ระบุว่า “ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง SIP requests จำนวนมากไปยังระบบที่ได้รับผลกระทบ”

    "หากการโจมตีประสบความสำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีสามารถใช้หน่วยความจำที่จัดสรรให้กับ Cisco BroadWorks Network Servers จัดการกับ SIP traffic จนหมด หากหน่วยความจำไม่เพียงพอ Network Servers จะไม่สามารถประมวลผล requests ขาเข้าได้อีก ส่งผลให้เกิดการ DoS ที่ต้องเข้าไปแก้ไขด้วยตนเองเพื่อที่จะสามารถกู้คืนระบบให้กลับมาใช้งานได้อีกครั้ง"

    ช่องโหว่อีกรายการที่ Cisco ได้แก้ไขคือ CVE-2025-20128 (คะแนน CVSS: 5.3) ซึ่งเป็น bug ของ integer underflow ที่ส่งผลกระทบต่อกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ใน ClamAV และอาจนำไปสู่การโจมตีแบบ DoS ได้

    Cisco ได้ให้เครดิตกับ Google OSS-Fuzz สำหรับการรายงานช่องโหว่นี้ และระบุว่าทราบถึงการมีโค้ดการโจมตี (Proof-of-concept - PoC) ถูกปล่อยออกสู่สาธารณะ แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานจริงก็ตาม

CISA และ FBI เปิดเผยรายละเอียดเกี่ยวกับวิธีการโจมตีของ Ivanti

    ในขณะที่มีข่าวเรื่องช่องโหว่ของ Cisco รัฐบาลสหรัฐฯ CISA และ FBI ได้ออกมาเปิดเผยรายละเอียดทางเทคนิค และวิธีการโจมตีที่แฮ็กเกอร์ใช้ในการโจมตีระบบคลาวด์ของ Ivanti เมื่อเดือนกันยายน 2024 ที่ผ่านมา

ช่องโหว่ที่เกี่ยวข้องมีดังต่อไปนี้:

• CVE-2024-8963, ช่องโหว่แบบ Administrative bypass
• CVE-2024-9379, ช่องโหว่แบบ SQL injection
• CVE-2024-8190 และ CVE-2024-9380 ช่องโหว่แบบ Remote code execution ทั้ง 2 รายการ

    จากรายงานของ CISA และ FBI วิธีการโจมตีมี 2 แบบ แบบแรกใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 และ CVE-2024-9380 ส่วนแบบที่สองใช้ CVE-2024-8963 ร่วมกับ CVE-2024-9379

Fortinet FortiGuard Labs ได้เปิดเผยวิธีการโจมตีแบบแรกเมื่อเดือนตุลาคม 2024 ที่ผ่านมา เชื่อว่าผู้ไม่ประสงค์ดีได้พยายามเจาะเข้าไปยังส่วนอื่น ๆ ของระบบหลังจากที่สามารถเข้าถึงระบบเบื้องต้นได้สำเร็จ

สำหรับการโจมตีแบบที่สอง พบว่าผู้ไม่ประสงค์ดีใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-9379 เพื่อเข้าถึงเครือข่ายเป้าหมาย หลังจากนั้นก็พยายามติดตั้ง web shells เพื่อเข้าควบคุมระบบอย่างต่อเนื่อง แต่ไม่สำเร็จ

    ทาง CISA และ FBI ยังระบุอีกว่า “ผู้ไม่ประสงค์ดีใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบเบื้องต้น หลังจากนั้นจะดำเนินการเรียกใช้โค้ดที่เป็นอันตรายระยะไกล (RCE), ขโมยข้อมูล credentials และติดตั้ง web shells บนเครือข่ายของเหยื่อ ส่วนข้อมูล Credentials และ Sensitive data ที่ถูกจัดเก็บไว้ในอุปกรณ์ Ivanti ที่โดนโจมตี ให้คาดว่าถูกขโมยไปแล้ว”

Ref : thehackernews

CISA แจ้งเตือนช่องโหว่การเรียกใช้โค้ดจากระยะไกลใน Network Switch ส่งผลต่อโครงสร้างพื้นฐานที่สำคัญขององค์กร

    หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ CISA กำลังเตือนเกี่ยวกับช่องโหว่ร้ายแรง 2 รายการที่สามารถทำให้เกิดการข้ามการยืนยันตัวตนและการเรียกใช้โค้ดจากระยะไกลในผลิตภัณฑ์ Optigo Networks ONS-S8 Aggregation Switch ซึ่งถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญ

    ช่องโหว่เหล่านี้เกี่ยวข้องกับปัญหาการยืนยันตัวตนที่อ่อนแอ ซึ่งทำให้สามารถข้ามการตรวจสอบรหัสผ่านได้ และปัญหาการตรวจสอบความถูกต้องของข้อมูลผู้ใช้ ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล การอัปโหลดไฟล์ที่เป็นอันตราย และการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal)

    อุปกรณ์นี้ถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญและหน่วยการผลิตทั่วโลก และเนื่องจากช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ด้วยความซับซ้อนต่ำ ความเสี่ยงจึงถูกประเมินว่าสูงมาก

ขณะนี้ยังไม่มีการแก้ไขปัญหาช่องโหว่ดังกล่าว ผู้ใช้งานจึงถูกแนะนำให้ใช้มาตรการลดความเสี่ยงที่ผู้จำหน่ายในแคนาดาเสนอแนะ

    ช่องโหว่แรกได้รับการติดตามในรหัส CVE-2024-41925 และถูกจัดประเภทเป็นปัญหา PHP Remote File Inclusion (RFI) ซึ่งเกิดจากการตรวจสอบหรือการกรองเส้นทางไฟล์ที่ผู้ใช้ระบุไม่ถูกต้อง

ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อทำการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal) ข้ามการยืนยันตัวตน และเรียกใช้โค้ดจากระยะไกล

    ปัญหาที่สองที่ถูกติดตามในรหัส CVE-2024-45367 เป็นปัญหาการยืนยันตัวตนที่อ่อนแอซึ่งเกิดจากการบังคับใช้การตรวจสอบรหัสผ่านที่ไม่เหมาะสมในกลไกการยืนยันตัวตน

การโจมตีนี้ทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซการจัดการสวิตช์โดยไม่ได้รับอนุญาต เปลี่ยนการตั้งค่า เข้าถึงข้อมูลสำคัญ หรือขยายไปยังจุดอื่น ๆ ในเครือข่ายได้

    ทั้งสองปัญหาถูกค้นพบโดยทีม Claroty Team82 และได้รับการจัดอันดับว่าร้ายแรง โดยมีคะแนน CVSS v4 อยู่ที่ 9.3 ช่องโหว่นี้มีผลกระทบต่อ ONS-S8 Spectra Aggregation Switch ทุกเวอร์ชันจนถึงเวอร์ชัน 1.3.7

การรักษาความปลอดภัยของสวิตช์ แม้ว่า CISA จะยังไม่พบหลักฐานว่าช่องโหว่เหล่านี้ถูกใช้โจมตีในขณะนี้

ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงจากช่องโหว่เหล่านี้:

• แยกการรับส่งข้อมูลการจัดการ ONS-S8 โดยวางไว้ใน VLAN เฉพาะ เพื่อแยกออกจากการรับส่งข้อมูลเครือข่ายทั่วไปและลดการเปิดเผย
• เชื่อมต่อกับ OneView ผ่าน NIC เฉพาะบนคอมพิวเตอร์ BMS เพื่อให้มั่นใจว่าการเข้าถึงเครือข่าย OT มีความปลอดภัยและเป็นเอกสิทธิ์
• ตั้งค่าไฟร์วอลล์เราเตอร์เพื่ออนุญาตเฉพาะอุปกรณ์ที่ระบุไว้เท่านั้น เพื่อจำกัดการเข้าถึง OneView เฉพาะกับระบบที่ได้รับอนุญาตและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
• ใช้ VPN ที่ปลอดภัยสำหรับการเชื่อมต่อกับ OneView เพื่อให้มั่นใจว่าการสื่อสารมีการเข้ารหัสและป้องกันการดักฟังข้อมูลที่อาจเกิดขึ้น
• ปฏิบัติตามแนวทางความมั่นคงปลอดภัยทางไซเบอร์ของ CISA โดยการประเมินความเสี่ยง การดำเนินการรักษาความปลอดภัยแบบหลายชั้น (Defense-in-Depth) และการปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการรักษาความปลอดภัยระบบควบคุมอุตสาหกรรม (ICS)

    CISA แนะนำว่าองค์กรที่พบเห็นกิจกรรมที่น่าสงสัยในอุปกรณ์เหล่านี้ควรปฏิบัติตามมาตรการตอบโต้เหตุการณ์ที่เกิดขึ้นและรายงานเหตุการณ์ต่อหน่วยงานความมั่นคงไซเบอร์เพื่อให้สามารถติดตามและเชื่อมโยงกับเหตุการณ์อื่น ๆ ได้

Ref : bleepingcomputer

CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware

CISA ได้เพิ่มช่องโหว่ remote code execution ระดับ Critical ของ Jenkins ที่กำลังถูกใช้ในการโจมตีเข้า Known Exploited Vulnerabilities Catalog พร้อมแจ้งเตือนว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน

Jenkins เป็น open-source automation server ที่ถูกใช้อย่างแพร่หลาย ซึ่งช่วยให้ Developper Team สามารถทำให้กระบวนการสร้าง, ทดสอบ และปรับใช้ซอฟต์แวร์เป็นไปโดยอัตโนมัติผ่าน continuous integration (CI) และ continuous delivery (CD)

CVE-2024-23897 เป็นช่องโหว่ที่เกิดจากตัวแยกวิเคราะห์คำสั่ง args4j ที่ผู้ไม่ประสงค์ดีไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์เพื่ออ่านไฟล์ได้ตามที่ต้องการบน Jenkins controller file system ผ่านทาง built-in command line (CLI)

Jenkins อธิบายว่า "ตัวแยกวิเคราะห์คำสั่งนี้มีฟีเจอร์ที่แทนที่ตัวอักษร @ ตามด้วย Path ของไฟล์ใน argument ด้วยเนื้อหาของไฟล์นั้น (expandAtFiles) โดยฟีเจอร์นี้เปิดใช้งานโดยค่า Defulte และ Jenkins รุ่น 2.441 และก่อนหน้า, LTS 2.426.2 และก่อนหน้าไม่สามารถปิดการใช้งานฟีเจอร์นี้ได้"

มีการเผยแพร่ตัวอย่างโค้ดการโจมตี (PoC) หลายรายการทางออนไลน์ไม่กี่วันหลังจากที่ Developper Team ของ Jenkins เผยแพร่การอัปเดตด้านความปลอดภัยเมื่อวันที่ 24 มกราคม 2024 โดยรายงานว่ามีบางตัวอย่างสามารถตรวจพบความพยายามในการโจมตีได้เพียงหนึ่งวันถัดมา

Shadowserver กำลังติดตามการใช้งาน Jenkins กว่า 28,000 ตัวอย่าง ที่มีช่องโหว่ CVE-2024-23897 โดยส่วนใหญ่มาจากประเทศจีน (7,700) และสหรัฐอเมริกา (7,368) ซึ่งแสดงให้เห็นถึงจำนวนระบบที่ยังสามารถถูกโจมตีได้จำนวนลดลง จากในตอนแรกที่พบว่ามีเซิร์ฟเวอร์ที่ยังไม่ได้รับการแก้ไขช่องโหว่มากกว่า 45,000 รายการ ที่พบในเดือนมกราคม

จากรายงานของ Trend Micro พบว่าช่องโหว่ CVE-2024-23897 เริ่มถูกใช้ในการโจมตีอย่างแพร่หลายมากขึ้นในเดือนมีนาคม ขณะที่ CloudSEK ระบุเมื่อต้นเดือนสิงหาคม ว่าผู้ไม่ประสงค์ดีที่รู้จักในชื่อ IntelBroker ได้ใช้ช่องโหว่นี้เพื่อเจาะระบบของผู้ให้บริการ IT BORN Group

ล่าสุด Juniper Networks รายงานเมื่อสัปดาห์ที่แล้วว่า กลุ่ม RansomEXX ได้ใช้ช่องโหว่นี้เพื่อเจาะระบบของ Brontoo Technology Solutions ซึ่งเป็นผู้ให้บริการด้านเทคโนโลยีแก่ธนาคารในอินเดียในช่วงปลายเดือนกรกฎาคม การโจมตีด้วย Ransomware ครั้งนี้ทำให้เกิดการหยุดชะงักอย่างกว้างขวางต่อระบบการชำระเงินค้าปลีกทั่วประเทศ

ภายหลังจากมีรายงานดังกล่าว CISA ได้เพิ่มช่องโหว่ด้านความปลอดภัยดังกล่าวลงในรายการ Known Exploited Vulnerabilities Catalog โดยเตือนว่าผู้ไม่ประสงค์ดีกำลังใช้ช่องโหว่ดังกล่าวในการโจมตีเป็นวงกว้าง

ตามคำสั่งการดำเนินงานที่บังคับใช้ (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021 หน่วยงานฝ่ายบริหารพลเรือนของรัฐบาลกลาง (FCEB) มีเวลาสามสัปดาห์จนถึงวันที่ 9 กันยายน 2024 เพื่อแก้ไขช่องโหว่ Jenkins Server บนเครือข่ายของพวกเขา เพื่อป้องกันการโจมตีที่ใช้ช่องโหว่ CVE-2024-23897

แม้ว่า BOD 22-01 จะใช้กับหน่วยงานของรัฐบาลกลางเท่านั้น แต่ CISA ก็ได้แนะนำให้ทุกองค์กรให้ความสำคัญกับการแก้ไขช่องโหว่นี้ เพื่อป้องกันการถูกโจมตีด้วย Ransomware ที่อาจกำลังมุ่งเป้าไปที่ระบบของพวกเขา

Ref: bleepingcomputer

ไซต์ที่ถูกยึดของ Lockbit กลับมาเปิดให้บริการอีกครั้งเพื่อลงประกาศโดย CIA และ ตำรวจสหรัฐ

    หน่วยงาน NCA, FBI และ Europol ได้ทำการเปิดไซต์เพื่อเผยแพร่ข้อมูลรั่วไหลของกลุ่ม LockBit ransomware ที่ถูกยึดไป เพื่อบอกเป็นนัยถึงข้อมูลใหม่ที่จะถูกเปิดเผยโดยหน่วยงานบังคับใช้กฎหมายในวันอังคารนี้

    เมื่อวันที่ 19 กุมภาพันธ์ ปฏิบัติการบังคับใช้กฎหมายที่เรียกว่า Operation Cronos ได้ยึดระบบโครงสร้างพื้นฐานของกลุ่ม LockBit รวมถึงเซิร์ฟเวอร์ 34 เครื่องที่โฮสต์ไซต์เผยแพร่ข้อมูลรั่วไหล และข้อมูลที่ขโมยมาจากเหยื่อ ที่อยู่ของสกุลเงินดิจิทัล คีย์การถอดรหัส 1,000 รายการ และ panel สำหรับพันธมิตรที่นำไปใช้งาน

    ส่วนหนึ่งของการจัดการครั้งนี้ ตำรวจได้แปลงไซต์เผยแพร่ข้อมูลรั่วไหลแห่งหนึ่งให้เป็นไซต์แถลงข่าว โดยสำนักงานอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA), FBI และ Europol จะใช้แบ่งปันข้อมูลเกี่ยวกับสิ่งที่พบระหว่างปฏิบัติการ รายชื่อบริษัทในเครือ และวิธีที่ LockBit โกหกเหยื่อโดยไม่ลบข้อมูลที่ถูกขโมยทุกครั้งหลังจากชำระค่าไถ่แล้ว

    หนึ่งในประกาศมีชื่อว่า "ใครคือ LockBitSupp?" ซึ่งเป็นการใบ้ว่าหน่วยงานบังคับใช้กฎหมายจะเปิดเผยข้อมูลเกี่ยวกับผู้ที่อยู่เบื้องหลังการทำงานของกลุ่ม LockBit ransomware

อย่างไรก็ตาม หลังจากผ่านมาหลายวัน โพสต์บล็อกก็ระบุเพียงว่า "เรารู้ว่าเขาเป็นใคร เราทราบว่าเขาอาศัยอยู่ที่ไหน เรารู้ว่าเขามีมูลค่าเท่าไร LockBitSupp ได้อยู่ในเป้าหมายของหน่วยงานบังคับใช้กฎหมายแล้ว"

    ในที่สุด หน่วยงานบังคับใช้กฎหมายก็ปิดไซต์ลงหลังจากนั้นไม่กี่วัน โดยหลายคนมองว่าโพสต์ "LockBitSupp" เป็นความผิดพลาดของหน่วยงานบังคับใช้กฎหมายในการโฆษณาประกาศ และไม่เปิดเผยอะไรเลย และเป็นชัยชนะของ LockBitSupp ผู้ซึ่งยังคงไม่ถูกเปิดเผยตัวตน

เมื่อวันอาทิตย์ที่ผ่านมา หน่วยงานบังคับใช้กฎหมายระหว่างประเทศได้กลับมาเปิดไซต์เผยแพร่ข้อมูลรั่วไหล/ข่าวประชาสัมพันธ์ของ LockBit อีกครั้ง โดยคราวนี้มีบล็อกโพสต์ใหม่ 7 โพสต์ที่เผยแพร่พร้อมกันทั้งหมดในวันอังคาร เวลา 14.00:00 UTC (10.00 น. EST)

    โพสต์บนบล็อกเหล่านี้ล้อเลียนด้วยข้อความต่าง ๆ เช่น "เราได้เรียนรู้อะไรบ้าง" "มีแฮ็กเกอร์ LB ถูกเปิดเผยมากขึ้น" "เรากำลังทำอะไรอยู่" และสิ่งที่หลายคนหวังว่าจะเป็นการยุติปฏิบัติการแรนซัมแวร์ให้ลดน้อยลงคือการรู้ว่า “ล็อคบิตซัพพ์คือใคร?”

    ตอนนี้อาจจะต้องรอเพื่อตรวจสอบว่าหน่วยงานบังคับใช้กฎหมายจะเปิดเผยข้อมูลที่สำคัญใด ๆ เกี่ยวกับผู้ควบคุม LockBit หรือไม่ หรือว่านี่จะเป็นความผิดหวังอีกครั้ง

นับตั้งแต่ปฏิบัติการบังคับใช้กฎหมาย LockBit ก็พยายามอย่างหนักที่จะกลับไปสู่ระดับที่เคยเป็นมาก่อนหน้า โดยผู้ที่เกี่ยวข้องทั้งหมดเริ่มระมัดระวังว่าการปฏิบัติการดังกล่าวจะถูกจับได้ เนื่องจากกำลังถูกหน่วยงานบังคับใช้กฎหมายเฝ้าจับตามองอย่างใกล้ชิด

    อย่างไรก็ตาม นั่นไม่ได้หมายความว่ากลุ่ม ransomware จะสิ้นสุดลง เนื่องจากการโจมตียังคงดำเนินต่อไป และปฏิบัติการนี้ยังคงเป็นความเสี่ยงต่อองค์กรทั่วโลก

bleepingcomputer

CISA สั่งหน่วยงานที่ได้รับผลกระทบจากการถูกโจมตีของ Microsoft ทำการแก้ไขโดยด่วน

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

   คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

  CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

    Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

   ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

    ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก

  สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

    Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป

   ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

    แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

    รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

    ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

    หลังจากนั้นผู้ไม่ประสงค์ดีทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

    กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

Ref : bleepingcomputer

CISA เปิดตัวระบบการวิเคราะห์ “Malware Next-Gen” ออกสู่สาธารณะ

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เปิดตัวระบบการวิเคราะห์ "Malware Next-Gen" เวอร์ชันใหม่ ให้บุคคลทั่วไปสามารถส่งตัวอย่าง Malware เพื่อรับการวิเคราะห์โดย CISA ได้

    Malware Next-Gen เป็นแพลตฟอร์มการวิเคราะห์ Malware ที่จะตรวจสอบตัวอย่าง Malware เพื่อหา Artifacts ที่น่าสงสัย ซึ่งเดิมทีได้รับการออกแบบมาเพื่อให้หน่วยงานรัฐบาลกลาง หน่วยงานรัฐ หน่วยงานท้องถิ่นของสหรัฐอเมริกา ส่งไฟล์ที่น่าสงสัยเพื่อนำมาวิเคราะห์ Malware ได้โดยอัตโนมัติผ่านเครื่องมือวิเคราะห์แบบ Static และ Dynamic

    Malware Next-Gen ได้ถูกออกแบบมาเพื่อจัดการกับปริมาณงานที่เพิ่มขึ้นของการวิเคราะห์ภัยคุกคามทางไซเบอร์ โดยนำเสนอการวิเคราะห์ขั้นสูงที่น่าเชื่อถือบนแพลตฟอร์มที่สามารถแต่งขนาดได้ รวมถึงมีความสามารถในการจัดการในหลายระดับ สำหรับการวิเคราะห์ไฟล์หรือ URL ที่อาจเป็นอันตรายโดยอัตโนมัติ

ความพร้อมใช้งาน

    Malware Next-Gen เริ่มเปิดให้บริการแก่องค์กรภาครัฐจำนวนจำกัดตั้งแต่เดือนพฤศจิกายน 2023 ซึ่งนำไปสู่การระบุไฟล์ และ URL ที่น่าสงสัย หรือเป็นอันตราย ได้มากกว่า 200 ไฟล์ จากการส่งไฟล์ไปวิเคราะห์ 1,600 รายการ

    CISA ได้สนับสนุนให้ทุกองค์กร, นักวิจัยด้านความปลอดภัย และบุคคลทั่วไป ลงทะเบียนส่งไฟล์ที่น่าสงสัยไปยังแพลตฟอร์มเพื่อทำการวิเคราะห์ ซึ่งต้องลงทะเบียนด้วยบัญชี login.gov ก่อน

โดยไฟล์ที่ส่งมาจะได้รับการวิเคราะห์ในสภาพแวดล้อมที่ปลอดภัย ผ่านเครื่องมือวิเคราะห์แบบ static และ dynamic และผลลัพธ์ของการวิเคราะห์จะแสดงในรูปแบบ PDF และ STIX 2.1

    สำหรับผู้ที่ต้องการไม่เปิดเผยชื่อ ยังมีตัวเลือกในการส่งตัวอย่าง Malware ผ่าน portal สำหรับผู้ใช้ที่ไม่ได้ลงทะเบียน แม้ว่าจะไม่สามารถเข้าถึงผลการวิเคราะห์ได้ก็ตาม โดยจะมีเฉพาะแค่นักวิเคราะห์ของ CISA และบุคคลที่ได้รับการตรวจสอบเท่านั้น ที่จะสามารถเข้าถึงรายงานการวิเคราะห์ Malware ที่สร้างโดยระบบ ดังนั้นหากผู้ใช้งานต้องการรับผลการวิเคราะห์ไฟล์ที่น่าสงสัยทันที VirusTotal ยังคงเป็นตัวเลือกที่น่าสนใจกว่า

    ทั้งนี้ CISA ได้เตือนผู้ใช้งานว่าอย่าพยายามใช้ระบบวิเคราะห์ไฟล์ในทางที่ผิด หลีกเลี่ยงการใช้ข้อมูลที่มีความเป็นส่วนตัว เพื่อให้แน่ใจว่าข้อมูลที่ส่งบนแพลตฟอร์มไม่มีข้อมูลที่เป็นความลับ

bleepingcomputer

CISA แจ้งเตือนช่องโหว่บนผลิตภัณฑ์ Microsoft Streaming เป็นช่องทางในการโจมตีเป้าหมาย

    หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา หรือ CISA สั่งให้หน่วยงาน US Federal Civilian Executive Branch (FCEB) ทำการป้องกันระบบเครือข่ายจากช่องโหว่ที่มีระดับความรุนแรงสูงใน Microsoft Streaming Service (MSKSSRV.SYS) ที่กำลังตกเป็นเป้าหมายในการโจมตี

    CVE-2023-29360 (คะแนน CVSS 8.4/10 ความรุนแรงระดับ High) เป็นช่องโหว่ Untrusted Pointer Dereference ซึ่งทำให้ผู้ไม่ประสงค์ดีที่เข้าถึงระบบได้ในระดับทั่วไปและได้รับสิทธิ์ผู้ดูแลบนระบบซึ่งการโจมตีไม่ค่อยมีความซับซ้อนเท่าไหร่นัก และไม่จำเป็นต้องมีการป้งกันใด ๆ จากเป้าหมาย

    ถูกค้นพบโดย Thomas Imbert ซึ่งพบช่องโหว่จาก Synactiv ใน Microsoft Streaming Service Proxy (MSKSSRV.SYS) และรายงานไปยัง Microsoft ผ่านทาง Zero Day Initiative ของ Trend Micro

    ทาง Microsoft ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน Patch Tuesday เดือนมิถุนายน 2023 รวมถึงได้มีการเปิดเผยชุดสาธิตการโจมตีหรือ proof-of-concept (PoC) บน GitHub ใน ในวันที่ 24 กันยายน 2023

    ทั้งนี้ทาง CISA ไม่ได้ให้รายละเอียดเกี่ยวกับการโจมตีที่กำลังดำเนินการอยู่ แต่ยืนยันว่าไม่พบหลักฐานว่าช่องโหว่นี้ถูกใช้ในการโจมตีจาก ransomware โดยทาง CISA ได้เพิ่มช่องโหว่ดังกล่าวไปยัง Known Exploited Vulnerabilities Catalog (KEV) หรือรายการช่องโหว่ที่พบว่ากำลังถูกใช้ในการโจมตี และแจ้งเตือนว่า “ช่องโหว่ดังกล่าวเป็นช่องทางที่พบว่าถูกผู้ไม่ประสงค์ดีใช้โจมตีบ่อยครั้ง และก่อให้เกิดความเสี่ยงที่สำคัญต่อองค์กรของรัฐบาลกลาง”

    โดยองค์กรของรัฐบาลกลางต้องทำตามคำสั่งของ CISA ตามที่ได้รับคำสั่งจากคำสั่งการปฏิบัติงานที่มีผลผูกพัน (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งต้องเร่งทำการอัปเดตระบบ Windows เพื่อป้องกันช่องโหว่ดังกล่าวภายในวันที่ 21 มีนาคม 2024

    รวมถึงแม้ว่า KEV Catalog จะมุ่งเน้นไปที่การแจ้งเตือนหน่วยงานรัฐบาลกลางเกี่ยวกับช่องโหว่ที่ควรได้รับการแก้ไขโดยเร็วที่สุด แต่องค์กรเอกชนทั่วโลกก็ควรแก้ไขตามเช่นกัน เพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

การโจมตีด้วย malware ตั้งแต่เดือนสิงหาคม 2023

    Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอเมริกัน-อิสราเอล ได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ CVE-2023-29360 ว่าพบการโจมตีของมัลแวร์ในชื่อ Raspberry Robin ได้ใช้ช่องโหว่ดังกล่าวในการโจมตีมาตั้งแต่เดือนสิงหาคม 2023

    Raspberry Robin เป็นมัลแวร์ที่มีความสามารถของเวิร์ม ซึ่งถูกพบในเดือนกันยายน 2021 และแพร่กระจายผ่าน USB drives เป็นหลัก แม้ว่าจะไม่สามารถระบุได้ว่าผู้ไม่ประสงค์ดีกลุ่มใดเป็นผู้สร้างมัลแวร์ แต่ก็มีการเชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดีหลายกลุ่มรวมถึง EvilCorp และกลุ่ม Clop ransomware โดยทาง Microsoft ได้รายงานไว้ในเดือนกรกฎาคม 2022 ว่าตรวจพบมัลแวร์ Raspberry Robin บนเครือข่ายขององค์กรหลายร้อยแห่งจากภาคอุตสาหกรรมต่าง ๆ

    Raspberry Robin มีการพัฒนาอย่างต่อเนื่อง โดยนำกลยุทธ์ delivery ใหม่มาใช้ และเพิ่มฟีเจอร์ใหม่ ๆ รวมถึงการหลีกเลี่ยงการตรวจจับ โดยการทิ้งเพย์โหลดปลอมเพื่อทำให้นักวิจัยเข้าใจผิด

Ref : bleepingcomputer

FBI แจ้งเตือนการพบ Androxgh0st botnet ขโมยข้อมูล AWS และ Microsoft credential

    CISA และ FBI แจ้งเตือนการพบกลุ่มผู้ไม่ประสงค์ดีใช้ Androxgh0st botnet ในการโจมตี เพื่อขโมยข้อมูล credential บน Cloud และใช้ข้อมูลที่ขโมยมาในการส่ง Payload ที่เป็นอันตรายไปยังเป้าหมาย

Androxgh0st botnet ถูกพบครั้งแรกโดย Lacework Labs ในปี 2022 และเข้าควบคุมอุปกรณ์ไปกว่า 40,000 เครื่อง ตามข้อมูลของ Fortiguard Labs โดยมันจะทำการสแกนหาเว็บไซต์ และเซิร์ฟเวอร์ที่มีช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) CVE-2017-9841 (ช่องโหว่ PHPUnit unit testing framework), CVE-2021-41773 (ช่องโหว่ Apache HTTP Server) และ CVE-2018-15133 (ช่องโหว่ Laravel PHP web framework)

    Androxgh0st เป็น Python-scripted malware ซึ่งกำหนดเป้าหมายการโจมตีไปยังไฟล์ .env ที่มีข้อมูลที่เป็นความลับ เช่น ข้อมูล confidential สำหรับแอปพลิเคชันที่มีความสำคัญต่าง ๆ (เช่น Amazon Web Services [AWS], Microsoft Office 365, SendGrid และ Twilio จาก Laravel web application framework) รวมถึงยังสนับสนุนฟีเจอร์การโจมตีมากมายที่สามารถใช้ Simple Mail Transfer Protocol (SMTP) ในการโจมตี เช่น การสแกน และการใช้ประโยชน์จากข้อมูล credentials ที่ถูกเปิดเผย, Application Programming Interfaces (API) และการใช้ Web Shell

    เมื่อ Androxgh0st สามารถขโมยข้อมูล credentials ได้แล้วก็จะดำเนินการในขั้นต่อไป โดยหนึ่งในสองฟังก์ชันหลักที่ใช้กับข้อมูล credentials ที่ขโมยมาที่พบบ่อยที่สุดคือการตรวจสอบขีดจำกัดการส่งอีเมลสำหรับบัญชี เพื่อประเมินว่าสามารถใช้ประโยชน์จากการสแปมได้หรือไม่ รวมถึงยังพบว่าผู้ไม่ประสงค์ดีจะสร้างเพจปลอมบนเว็บไซต์ที่ถูกโจมตี โดยใช้ backdoor เพื่อเข้าถึงฐานข้อมูลที่มีข้อมูลที่มีความสำคัญ และติดตั้งเครื่องมือที่เป็นอันตราย รวมถึงเมื่อสามารถขโมยข้อมูล credentials ของ AWS บนเว็บไซต์ที่มีช่องโหว่ได้สำเร็จแล้ว ก็จะลองสร้างผู้ใช้ และ Policy ของผู้ใช้งานใหม่อีกด้วย นอกจากนี้ Andoxgh0st ยังใช้ข้อมูล credentials ที่ขโมยมาเพื่อค้นหา AWS instance ใหม่สำหรับการสแกนเป้าหมายที่มีช่องโหว่เพิ่มเติมผ่านอินเทอร์เน็ต

    FBI และ CISA ได้แนะนำให้ผู้ดูแลระบบทำการปกป้องเครือข่ายด้วยมาตรการเหล่านี้ เพื่อจำกัดผลกระทบของการโจมตีจาก Androxgh0st และลดความเสี่ยงในการถูกควบคุมระบบ:

• อัปเดตระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ทั้งหมดให้ทันสมัยอยู่เสมอ ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ Apache ไม่ได้ใช้เวอร์ชัน 2.4.49 หรือ 2.4.50
• ตรวจสอบว่าการกำหนดค่าเริ่มต้นสำหรับ all URIs คือ deny all requests ทั้งหมด เว้นแต่จะมีความจำเป็นเฉพาะที่สามารถเข้าถึงได้
• ตรวจสอบให้แน่ใจว่า Laravel application ที่ใช้งาน ไม่อยู่ใน “debug” หรือโหมดการทดสอบ หากมี ให้ทำการลบข้อมูล credentials ระบบคลาวด์ทั้งหมดออกจากไฟล์ .env และยกเลิกการใช้งานทั้งหมด
• ใช้ one-time basis สำหรับข้อมูล credentials ระบบคลาวด์ที่เก็บไว้ก่อนหน้านี้ และข้อมูล credentials ประเภทอื่น ๆ ที่ไม่สามารถลบออกได้อย่างต่อเนื่อง ให้ตรวจสอบแพลตฟอร์ม หรือบริการใด ๆ ที่มีข้อมูล credentials อยู่ในไฟล์ .env สำหรับการเข้าถึง หรือใช้งานโดยไม่ได้รับอนุญาต
• สแกนระบบไฟล์ของเซิร์ฟเวอร์เพื่อหาไฟล์ PHP ที่ไม่รู้จัก โดยเฉพาะใน root directory หรือโฟลเดอร์ /vendor/phpunit/phpunit/src/Util/PHP
• ตรวจสอบ GET requests (via cURL command) ขาออก ไปยังเว็บไซต์โฮสต์ไฟล์ เช่น GitHub, Pastebin ฯลฯ โดยเฉพาะอย่างยิ่งเมื่อมี request เพื่อเข้าถึงไฟล์ .php
• รวมถึง FBI ยังได้ขอข้อมูลเกี่ยวกับมัลแวร์ Androxgh0st จากองค์กรที่ตรวจจับพฤติกรรมที่น่าสงสัย หรืออาชญากรรมที่เชื่อมโยงกับการโจมตีดังกล่าว

    ทั้งนี้ทาง CISA ได้เพิ่ม CVE-2018-15133 (Laravel deserialization of untrusted data vulnerability) ไปใน Known Exploited Vulnerabilities Catalog หรือช่องโหว่ที่ถูกใช้ในการโจมตีแล้ว อิงตามหลักฐานของการโจมตีที่พบในปัจจุบัน และได้สั่งให้หน่วยงานรัฐบาลกลางทำการแก้ไขช่องโหว่ดังกล่าวภายในวันที่ 6 กุมภาพันธ์ 2024

    รวมถึงช่องโหว่ CVE-2021-41773 (Apache HTTP Server path traversal) และ CVE-2017-9841 (PHPUnit command injection) ได้ถูกเพิ่มลง KEV แล้วเช่นกันตั้งแต่เดือนพฤศจิกายน 2021 และกุมภาพันธ์ 2022 ตามลำดับ

Ref : bleepingcomputer

NSA และ CISA เปิดเผยรายงาน 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยบนระบบ

    สำนักงานความมั่นคงแห่งชาติ (NSA) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐาน (CISA) ได้เปิดเผยรายงานการค้นพบการตั้งค่าที่ไม่ปลอดภัยที่พบบ่อยที่สุด 10 อันดับ ซึ่งถูกพบโดย Red และ Blue Team ของบริษัทชั้นนำในโลก และหน่วยงานของรัฐบาล

    รวมไปถึงรายงานดังกล่าวยังให้ข้อมูลเกี่ยวกับ กลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ Hacker นำการตั้งค่าที่ไม่ปลอดภัยไปใช้ร่วมกับการโจมตีอย่างหลากหลาย เช่น การเข้าถึงระบบ (Initial Access), การแพร่กระจายไปในระบบ (Lateral Movement) และการขโมยข้อมูลที่สำคัญ (Exfiltration) โดยข้อมูลเหล่านี้ได้มา   จากผลการวิเคราะห์ในระหว่างการตอบสนองต่อเหตุการณ์ หรือ Incident Response 10 อันดับของการตั้งค่าที่ไม่ปลอดภัย ที่ถูกค้นพบ Red และ Blue Team รวมถึง ทีม NSA และ CISA Hunt และ Incident Response ได้แก่ :

1. การใช้การตั้งค่าเริ่มต้นของซอฟต์แวร์ และแอพพลิเคชัน (Default config)
2. การแยกสิทธิ์ของผู้ใช้งาน และผู้ดูแลระบบที่ไม่ถูกต้อง (Privilege control)
3. การตรวจสอบเครือข่ายภายในที่ไม่เพียงพอ (Network monitoring)
4. ไม่มีการแบ่งส่วนต่าง ๆ ของเครือข่ายในระบบ (Network segmentation)
5. การบริหารจัดการการอัปเดตซอฟต์แวร์ และแอพพลิเคชันที่ไม่มีประสิทธิภาพ (Patch Management)
6. การหลีกเลี่ยงการเข้าถึงระบบ (Bypass access controls)
7. การตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ไม่มีประสิทธิภาพ (Week MFA)
8. การทำรายการควบคุมการเข้าถึง (ACL) ที่ไม่ครอบคลุมในการแชร์เครือข่าย และบริการ
9. การใช้ credential ที่ไม่มีประสิทธิภาพ
10. การใช้ code ได้โดยไม่จำกัด (Unrestricted code execution)

    โดยข้อมูล 10 อันดับของการตั้งค่าที่ไม่ปลอดภัยนี้แสดงถึงความจำเป็นของผู้ผลิตซอฟต์แวร์ที่ต้องพัฒนา และปรับปรุงการออกแบบที่ปลอดภัย เพื่อแก้ไขการตั้งค่าที่ไม่ปลอดภัยได้อย่างมีประสิทธิภาพ ซึ่งต้องเริ่มต้นตั้งแต่การควบคุมความปลอดภัยเข้ากับสถาปัตยกรรมผลิตภัณฑ์ตั้งแต่ระยะเริ่มต้นของการพัฒนา และตลอดวงจรการพัฒนาซอฟต์แวร์ รวมถึงการใช้มาตรการป้องกันเชิงรุกเพื่อป้องกันช่องโหว่ทุกประเภท เช่น การใช้ภาษาการเขียนโค้ดที่ปลอดภัยสำหรับหน่วยความจำ หรือการการใช้คำสั่งแบบกำหนดพารามิเตอร์

    นอกจากนี้ควรมี multifactor authentication (MFA) สำหรับ privileged user และการกำหนดค่า MFA ให้เป็นค่าเริ่มต้น เพื่อเป็นแนวทางปฏิบัติตามมาตรฐานของการตั้งค่าที่ปลอดภัย

    NSA และ CISA ยังได้แนะนำให้ผู้ดูและระบบใช้มาตรการต่าง ๆ เพื่อลดความเสี่ยงในการถูกโจมตีจากการตั้งค่าที่ไม่ปลอดภัยดังนี้ :

• การยกเลิกการใช้ค่า Default config และ Default credential และเปลี่ยนไปตั้งค่าให้มีความแข็งแรงมากยิ่งขึ้น
• การปิดใช้งานบริการที่ไม่ได้ใช้ และตั้งค่าการใช้งาน access controls อย่างเข้มงวด
• การทำ Patch Management อย่างสม่ำเสมอ และจัดลำดับความสำคัญของการแก้ไขช่องโหว่ ให้แก่ช่องโหว่ที่ถูกใช้ในการโจมตี
• มีการควบคุม จำกัดตรวจสอบ และติดตาม administrative account หรือ privilege account อย่างต่อเนื่อง
• รวมถึงการนำ “MITRE ATT&CK for Enterprise framework” มาปรับใช้กับองค์กรเพื่อรับมือเหตุการณ์ด้านความปลอดภัยอีกด้วย

Ref : bleepingcomputer

CISA แจ้งให้หน่วยงานต่าง ๆ รีบทำการอัปเดตแพตซ์ช่องโหว่เพื่อป้องกันการโจมตีจาก spyware

    Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

    โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

    โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

• CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
• CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
• CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
• CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
• CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

    ทั้งนี้ CISA ได้แนะนำให้ทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่ต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

Ref : bleepingcomputer

CISA เปิดตัวเครื่องมือในการประเมินช่องโหว่ที่เสี่ยงต่อ Ransomware สำหรับหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญในชื่อ RVWP

CISA now warns critical infrastructure of ransomware-vulnerable devices

    US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้ประกาศเปิดตัวโครงการใหม่ที่จะช่วยประเมินช่องโหว่ที่เสี่ยงต่อการถูกโจมตีจาก Ransomware สำหรับหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ Critical Infrastructure (CI) ในชื่อ Ransomware Vulnerability Warning Pilot (RVWP) ซึ่งได้เปิดตัวในวันที่ 30 มกราคม 2023 ที่ผ่านมา

โครงการ RVWP ได้มีเป้าหมาย 2 ประการคือ

• เพื่อค้นหาช่องโหว่ในเครือข่ายของหน่วยงานโครงสร้างพื้นฐานที่สำคัญ (CI) ที่ได้มีการเปิดเชื่อมต่อกับอินเทอร์เน็ต ซึ่งเสี่ยงต่อการโจมตีจาก Ransomware
• ให้การช่วยเหลือ หรือให้คำแนะนำหน่วยงานโครงสร้างพื้นฐานที่สำคัญ (CI) ในการแก้ไขช่องโหว่ก่อนที่จะถูกโจมตี

    โดยในโครงการ RVWP ทาง CISA จะนำแหล่งข้อมูลต่าง ๆ ในหน่วยงาน และเทคโนโลยีที่มีอยู่แล้ว นำมาวิเคราะห์ และระบุช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับการโจมตีของ Ransomware เมื่อสามารถระบุระบบที่ได้รับผลกระทบเหล่านี้แล้ว ทีมงานของ CISA จะแจ้งให้เจ้าของระบบทราบถึงช่องโหว่ด้านความปลอดภัย ซึ่งจะช่วยให้สามารถป้องกัน และแก้ไขได้ทันท่วงทีก่อนที่จะเกิดการโจมตี

    ซึ่งโครงการนี้ได้เกิดขึ้นหลังจากการรายงานว่า องค์กรโครงสร้างพื้นฐานที่สำคัญ และหน่วยงานรัฐบาลของสหรัฐฯ ได้ตกเป็นเป้าหมายของการโจมตีมากขึ้นเรื่อย ๆ เช่น Colonial Pipeline, JBS Foods และ Kaseya

โดยก่อนหน้านี้ในเดือนมิถุนายน 2021 ทาง CISA ได้เปิดตัว Ransomware Readiness Assessment (RRA) ซึ่งเป็นโมดูลใหม่สำหรับ Cyber ​​Security Evaluation Tool (CSET) ซึ่งช่วยให้องค์กรต่าง ๆ สามารถประเมินความพร้อมในการป้องกัน และกู้คืนจากการโจมตีของ Ransomware และสามารถปรับแต่งสำหรับระดับความปลอดภัยทางไซเบอร์ที่แตกต่างกันได้

    ต่อมาในเดือนสิงหาคม 2021 CISA ได้เผยแพร่คู่มือ How to Prevent Ransomware Data Breaches เพื่อให้คำแนะนำ และช่วยองค์กรภาครัฐ และเอกชนที่มีความเสี่ยงในการป้องกัน การละเมิดข้อมูล Ransomware และได้ประกาศความร่วมมือในการปกป้องโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ จาก Ransomware และภัยคุกคามทางไซเบอร์อื่น ๆ ในชื่อ *Joint Cyber ​​Defense Collaborative (JCDC) โดยได้รวบรวมหน่วยงาน รัฐบาลกลาง รัฐ และรัฐบาลท้องถิ่น เช่น กระทรวงกลาโหม NSA กระทรวงยุติธรรม เอฟบีไอ กองบัญชาการไซเบอร์สหรัฐ และสำนักงานทางผู้อำนวยการข่าวกรองแห่งชาติ และองค์กรภาคเอกชน เช่น Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks และ Verizon เพื่อสร้างแผนป้องกันทางไซเบอร์สำหรับกิจกรรมทางไซเบอร์ที่เป็นอันตรายซึ่งกำหนดเป้าหมายไปยังโครงสร้างพื้นฐานที่สำคัญ (CI)

    นอกจากนี้ทาง CISA ยังได้เปิดตัว “cisa.gov/stopransomware” โดยเป็นเว็บไซต์ที่รวบรวมข้อมูล และทรัพยากรทั้งหมดที่จำเป็นในการป้องกัน และหยุดการโจมตีของ Ransomware รวมถึงเครื่องมือที่จำเป็นในการรายงานเหตุการณ์ Ransomware รวมถึงช่องทางขอความช่วยเหลือด้านเทคนิคอีกด้วย

bleepingcomputer

CISA อัปเดตช่องโหว่ใหม่ 3 รายการใน Known Exploited Vulnerabilities (KEV) แคตตาล็อก

    หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ (CISA) ได้เพิ่มช่องโหว่ด้านความปลอดภัย 3 รายการลงในแคตตาล็อก Known Exploited Vulnerabilities ( KEV ) โดยอ้างถึงหลักฐานของการพบการโจมตีที่กำลังเกิดขึ้นอยู่ในปัจจุบัน

รายการช่องโหว่มีดังต่อไปนี้

• CVE-2022-35914 (คะแนน CVSS: 9.8) - ช่องโหว่ Remote Code Execution Vulnerability ของ Teclib GLPI
• CVE-2022-33891 (คะแนน CVSS: 8.8) - ช่องโหว่ Apache Spark Command Injection
• CVE-2022-28810 (คะแนน CVSS: 6.8) - ช่องโหว่ Zoho ManageEngine ADSelfService Plus Remote Code Execution

• ช่องโหว่แรก คือ CVE-2022-35914 เป็นช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลในไลบรารี htmlawed ของ third-party ที่มีอยู่ใน Teclib GLPI ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์ส และแพ็คเกจซอฟต์แวร์การจัดการทางด้านไอที ยังไม่มีรายละเอียดที่แน่ชัดเกี่ยวกับลักษณะของการโจมตี แต่  Shadowserver Foundation ระบุว่าพบความพยายามในการโจมตี Honeypot ของพวกเขาในเดือนตุลาคม 2565 หลังจากนั้นมีการเผยแพร่ proof of concept (PoC) แบบ cURL-based ออกมาบน GitHub และ Jacob Baines นักวิจัยด้านความปลอดภัยของ VulnCheck ระบุว่าพบการโฆษณาขายเครื่องมือที่ใช้สำหรับสแกนช่องโหว่จำนวนมากในเดือนธันวาคม 2565 นอกจากนี้ข้อมูลที่รวบรวมโดย GreyNoise พบว่ามี IP ที่เป็นอันตราย 40 รายการจากสหรัฐอเมริกา เนเธอร์แลนด์ ฮ่องกง ออสเตรเลีย และบัลแกเรีย พยายามโจมตีโดยการใช้ช่องโหว่ดังกล่าว
• ช่องโหว่ที่สอง คือ CVE-2022-33891 ช่องโหว่ command injection ใน Apache Spark ซึ่งถูกใช้งานโดยบอทเน็ต Zerobot ในการโจมตีอุปกรณ์ที่มีช่องโหว่ โดยมีเป้าหมายเพื่อนำมาใช้ในการโจมตีแบบ Distributed Denial-of-Service (DDoS)
• ช่องโหว่ที่สาม คือ CVE-2022-28810 ช่องโหว่การเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลใน Zoho ManageEngine ADSelfService Plus ซึ่งได้รับการแก้ไขไปแล้วในเดือนเมษายน 2565

    CISA ระบุว่า "Zoho ManagementEngine ADSelf Service Plus มีช่องโหว่หลายรายการ ซึ่งทำให้ผู้โจมตีสามารถเรียกใช้งานโค้ดที่เป็นอันตรายจากระยะไกลได้ เมื่อดำเนินการเปลี่ยนรหัสผ่าน หรือรีเซ็ตรหัสผ่าน บริษัทด้านความปลอดภัยทางไซเบอร์ Rapid7 ซึ่งเป็นผู้ค้นพบช่องโหว่ระบุว่าพบความพยายามในการใช้ประโยชน์จากช่องโหว่เพื่อรันคำสั่งบนระบบปฏิบัติการตามที่ต้องการ เพื่อให้สามารถแฝงตัวอยู่บนระบบได้

Ref: thehackernews