Cloudflare ล่ม เนื่องจากการบล็อก URL ฟิชชิ่งที่ผิดพลาด

    การพยายามบล็อก URL ฟิชชิ่งในแพลตฟอร์ม R2 object storage ของ Cloudflare เมื่อวานนี้ (6 กุมภาพันธ์ 2025) กลับเกิดข้อผิดพลาด ทำให้เกิดการหยุดการทำงานอย่างกว้างขวาง ซึ่งทำให้บริการหลาย ๆ รายการล่มไปเกือบหนึ่งชั่วโมง

    Cloudflare R2 เป็นบริการจัดเก็บข้อมูลแบบอ็อบเจกต์ที่คล้ายกับ Amazon S3 ซึ่งออกแบบมาเพื่อการจัดเก็บข้อมูลที่สามารถขยายขนาดได้, มีความทนทาน และมีค่าใช้จ่ายต่ำ โดยนำเสนอการดึงข้อมูลฟรี ไม่มีค่าใช้จ่าย, ความ compatibility กับ S3, data replication ในหลายสถานที่ และการ integration กับบริการอื่น ๆ ของ Cloudflare

    การหยุดการทำงานเกิดขึ้นเมื่อวานนี้ เมื่อเจ้าหน้าที่ของ Cloudflare ตอบสนองต่อรายงานการละเมิดเกี่ยวกับ URL ฟิชชิ่งในแพลตฟอร์ม R2 ของ Cloudflare อย่างไรก็ตาม แทนที่จะบล็อก specific endpoint เจ้าหน้าที่ของ Cloudflare กลับปิดบริการ R2 Gateway ทั้งหมดโดยไม่ตั้งใจ

    Cloudflare อธิบายในรายงานหลังเหตุการณ์ "ในระหว่างการแก้ไขการละเมิดตามปกติ ได้มีการดำเนินการตามการร้องเรียนที่ทำให้บริการ R2 Gateway ถูกปิดโดยไม่ได้ตั้งใจ แทนที่จะปิดเฉพาะ specific ndpoint/bucket ที่เกี่ยวข้องกับรายงานนั้น"

“นี่เป็นความล้มเหลวของ system level controls และการฝึกอบรมผู้ปฏิบัติงาน"

    เหตุการณ์นี้ใช้เวลานาน 59 นาที ระหว่างเวลา 08:10 ถึง 09:09 UTC และนอกจากการหยุดทำงานของ R2 Object Storage แล้ว ยังส่งผลกระทบต่อบริการอื่น ๆ เช่น

• Stream – การอัปโหลดวิดีโอ และการส่งสตรีมมิ่ง ล้มเหลว 100%
• Images – การอัปโหลด/ดาวน์โหลดภาพล้มเหลว 100%
• Cache Reserve – การดำเนินการล้มเหลว 100% ทำให้มีการ request จากต้นทางเพิ่มขึ้น
• Vectorize – ล้มเหลว 75% ในการ queries, ล้มเหลว 100% ในการ insert, upsert และ delete
• Log Delivery – ความล่าช้า และการสูญหายของข้อมูล: การสูญหายของข้อมูลสูงสุด 13.6% สำหรับ Logs ที่เกี่ยวข้องกับ R2, การสูญหายของข้อมูลถึง 4.5% สำหรับ delivery jobs ที่ไม่ใช่ R2
• Key Transparency Auditor – signature publishing และ read operations ล้มเหลว 100%

    นอกจากนี้ยังมีบริการที่ได้รับผลกระทบทางอ้อม ซึ่งประสบปัญหากับการใช้งานบางส่วน เช่น Durable Objects ที่มีอัตราการเกิดข้อผิดพลาดเพิ่มขึ้น 0.09% เนื่องจากการเชื่อมต่อใหม่หลังการกู้คืน, Cache Purge ที่มีข้อผิดพลาดเพิ่มขึ้น 1.8% (HTTP 5xx) และการหน่วงเวลาเพิ่มขึ้น 10 เท่า, และ Workers & Pages ที่มีข้อผิดพลาดในการ deployment 0.002% ซึ่งส่งผลกระทบเฉพาะโปรเจกต์ที่มีการเชื่อมต่อกับ R2 เท่านั้น

    Cloudflare ระบุว่าทั้ง human error และการขาดกลไกป้องกัน เช่น การตรวจสอบความถูกต้องสำหรับการดำเนินการที่ส่งผลกระทบร้ายแรง เป็นปัจจัยสำคัญที่ทำให้เกิดเหตุการณ์นี้

    Cloudflare ได้ดำเนินการแก้ไขเบื้องต้นแล้ว เช่น การนำความสามารถในการปิดระบบออกจากอินเทอร์เฟซตรวจสอบการละเมิด และเพิ่มข้อจำกัดใน Admin API เพื่อป้องกันการปิดบริการโดยไม่ได้ตั้งใจ

    มาตรการเพิ่มเติมที่จะนำมาใช้ในอนาคต ได้แก่ การปรับปรุงกระบวนการสร้างบัญชี, การควบคุมสิทธิ์การเข้าถึงที่เข้มงวดขึ้น และกระบวนการ two-party approval สำหรับการดำเนินการที่มีความเสี่ยงสูง

    ในเดือนพฤศจิกายน 2024 Cloudflare ประสบกับเหตุการณ์หยุดทำงานครั้งสำคัญอีกครั้งเป็นเวลานาน 3.5 ชั่วโมง ส่งผลให้ Logs ในบริการสูญหายอย่างถาวรถึง 55%

    เหตุการณ์ดังกล่าวเกิดจากความล้มเหลวต่อเนื่อง (cascading failures) ในระบบลดผลกระทบอัตโนมัติของ Cloudflare ซึ่งถูกทริกเกอร์โดยการตั้งค่าที่ไม่ถูกต้องไปยังส่วนประกอบสำคัญในระบบ Logging pipeline ของบริษัท

Ref : bleepingcomputer.com

Mirai Botnet โจมตีแบบ DDoS ครั้งใหญ่ด้วยปริมาณ 5.6 Tbps โดยใช้อุปกรณ์ IoT มากกว่า 13,000 เครื่อง

    Cloudflare ได้เปิดเผยเมื่อวันอังคารที่ผ่านมาว่า ได้ตรวจพบการโจมตีแบบ Distributed Denial-of-Service (DDoS) ด้วยความเร็วสูงถึง 5.6 Tbps ซึ่งเป็นการโจมตีที่รุนแรงที่สุดเท่าที่เคยมี

    การโจมตีดังกล่าวใช้โปรโตคอล UDP เกิดขึ้นเมื่อวันที่ 29 ตุลาคม 2024 ที่ผ่านมา โดยมีเป้าหมายโจมตีลูกค้ารายหนึ่งของบริษัท ซึ่งเป็นผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ไม่เปิดเผยชื่อจากเอเชียตะวันออก ซึ่งการโจมตีในครั้งนี้มีต้นตอมาจาก Mirai-variant botnet

    Omer Yoachimik และ Jorge Pacheco จาก Cloudflare ระบุว่า "การโจมตีครั้งนี้เกิดขึ้นเพียง 80 วินาที และมาจากอุปกรณ์ IoT มากกว่า 13,000 เครื่อง" ทั้งนี้ จำนวนเฉลี่ยของ Source IP จากต้นทางที่มีการตรวจพบ เฉลี่ยต่อวินาทีอยู่ที่ 5,500 IP โดยแต่ละ IP มีปริมาณการโจมตีโดยเฉลี่ยประมาณ 1 Gbps ต่อวินาที

    สถิติเดิมของการโจมตีแบบ DDoS ที่มีปริมาณข้อมูลสูงสุดเท่าที่เคยถูกบันทึกโดย Cloudflare ในเดือนตุลาคม 2024 ที่ผ่านมา โดยมีความเร็วสูงสุดอยู่ที่ 3.8 Tbps

    Cloudflare ยังเปิดเผยอีกว่าในปี 2024 บริษัทได้ป้องกันการโจมตีแบบ DDoS ได้ประมาณ 21.3 ล้านครั้ง ซึ่งเพิ่มขึ้น 53% เมื่อเทียบกับปี 2023 และจำนวนการโจมตีที่มีปริมาณข้อมูลเกิน 1 Tbps เพิ่มขึ้นถึง 1,885% เมื่อเทียบกับไตรมาสก่อนหน้านี้ โดยเฉพาะในไตรมาสที่ 4 ของปี 2024 มีการป้องกันการโจมตีแบบ DDoS มากถึง 6.9 ล้านครั้ง

    DDoS botnets ที่เป็นที่รู้จักมีส่วนเกี่ยวข้องกับการโจมตีแบบ HTTP DDoS ถึง 72.6% ของการโจมตีทั้งหมด

    รูปแบบการโจมตีที่พบบ่อยมากที่สุด 3 อันดับแรกในระดับ Layer 3 และ Layer 4 ได้แก่ การโจมตีแบบ SYN floods (38%), การโจมตีแบบ DNS flood (16%), และการโจมตีแบบ UDP floods (14%)

    การโจมตีแบบ Memcached DDoS, การโจมตีแบบ BitTorrent DDoS, และการโจมตีแบบ ransom DDoS มีอัตราเพิ่มขึ้น 314%, 304%, และ 78% ตามลำดับเมื่อเทียบกับไตรมาสก่อน

    ประมาณ 72% ของการโจมตีแบบ HTTP DDoS และ 91% ของการโจมตีแบบ DDoS ใน network layer จบลงภายในเวลาไม่เกิน 10 นาที

    ทั้งนี้การโจมตีส่วนมากมาจากประเทศ อินโดนีเซีย, ฮ่องกง, สิงคโปร์, ยูเครน และอาร์เจนตินา เป็นแหล่งที่มาของการโจมตีแบบ DDoS ที่ใหญ่ที่สุด

    และประเทศ จีน, ฟิลิปปินส์, ไต้หวัน, ฮ่องกง และเยอรมนี เป็นประเทศที่ถูกโจมตีมากที่สุด

    ภาคส่วนที่ถูกโจมตีมากที่สุด ได้แก่ โทรคมนาคม, อินเทอร์เน็ต, การตลาด, เทคโนโลยีสารสนเทศ และการพนัน

    ในขณะเดียวกันที่บริษัทด้านความปลอดภัยทางไซเบอร์อย่าง Qualys และ Trend Micro เปิดเผยว่าได้ตรวจพบมัลแวร์สายพันธุ์ย่อยของ Mirai botnet ที่กำลังโจมตีอุปกรณ์ Internet of Things (IoT) โดยใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักและข้อมูล Credentials เพื่อใช้เป็นช่องทางในการโจมตีแบบ DDoS อีกด้วย

Ref : thehackernews

มีการตรวจพบการใช้งาน Trycloudflare โดยผู้ไม่ประสงค์ดีด้วยการ รีโมตจากระยะไกล

    นักวิจัยเตือนว่า กลุ่มผู้ไม่ประสงค์ดีกำลังใช้บริการ Cloudflare Tunnel ในการแพร่กระจายมัลแวร์ที่มักนำไปสู่การติดตั้งโปรแกรมควบคุมระยะไกล (RAT)

    อาชญากรรมทางไซเบอร์นี้ถูกตรวจพบครั้งแรกในเดือนกุมภาพันธ์ และใช้ TryCloudflare (บริการฟรี) ในการแพร่กระจายโปรแกรมประเภท RAT หลายชนิด เช่น AsyncRAT, GuLoader, VenomRAT, Remcos RAT และ Xworm

การโจมตีล่าสุด

    Proofpoint ได้ออกมาเปิดเผยว่าพบการโจมตีด้วย Malware ที่กำหนดเป้าหมายเป็นองค์กรด้านกฎหมาย การเงิน การผลิต และเทคโนโลยี ด้วยไฟล์ประเภท .LNK โดยที่ไฟล์ดังกล่าวถูกฝากใว้บน

    Trycloudflare โดยวิธีการที่ผู้ไม่ประสงค์ดีใช้โจมตีนั้น จะเริ่มด้วยการใช้ E-mail Phishing ที่เป็นลักษณะที่เกี่ยวกับภาษี เมื่อกดลิงค์จะถูก Payload โดยใช้ Scrip BAT หรือ CMD และจะจบด้วยการ

จะติดตั้ง Python เพื่อใช้ Run Payload

    Proofpoint ยังเปิดเผยต่ออีกว่าทางผู้ไม่ประสงค์ดีนั้นได้ทำการส่งอีเมลออกมาตั้งแต่วันที่ 11/7/67 โดยถูกส่งออกไปแล้วกว่า 1,500 รายการ

    ไฟล์ .LNK บน Cloudflare มีประโยชน์หลายประการ รวมถึงทำให้การรับส่งข้อมูลและถูกต้องตามกฎหมายเนื่องจากชื่อเสียงของบริการ Cloudflare

    นอกจากนี้คุณสมบัติ TryCloudflare Tunnel ยังสามารถไม่เปิดเผยตัวตน และมีโดเมนย่อยที่ให้บริการ .LNK นั้นเป็นแบบชั่วคราวดังนั้นการบล็อกโดเมนย่อยเหล่านี้นั้นจึงยากขึ้นมาก

    ในท้ายที่สุด บริการดังกล่าวก็ฟรีและเชื่อถือได้ ดังนั้นผู้ไม่ประสงค์ดีจึงไม่จำเป็นต้องจ่ายค่าใช้บริการเพิ่มในการตั้งค่าโครงสร้างพื้นฐานของตนเอง หากใช้ระบบอัตโนมัติเพื่อหลีกเลี่ยงการบล็อกจาก Cloudflare ผู้ไม่ประสงค์ดีนั้นสามารถใช้ช่องทางเหล่านี้ในการโมตีได้

Ref: bleepingcomputer

ผู้ไม่ประสงค์ดีใช้ Cloudflare Tunnels ในการทำ Covert Communications

ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศพบว่าผู้ไม่ประสงค์ดีกำลังใช้ Cloudflare Tunnels เพื่อสร้าง Covert Communications จากโฮสต์ที่ตกเป็นเป้าหมาย และสร้างการเชื่อมต่อสำหรับการแฝงตัวอยู่บนระบบของเป้าหมาย

Nic Finn นักวิเคราะห์ข้อมูลความเสี่ยงที่ GuidePoint Security ระบุว่า "Cloudflared มีความคล้ายคลึงการทำงานกับ ngrok อย่างมาก" อย่างไรก็ตาม Cloudflared แตกต่างจาก ngrok โดยมีความสามารถที่มากกว่าในการใช้งานฟรี รวมถึงความสามารถในการเชื่อมต่อแบบ TCP ผ่าน cloudflared

Cloudflared ใช้เครื่องมือ command-line สำหรับ Cloudflare Tunnel ที่ช่วยให้ผู้ใช้งานสามารถสร้างการเชื่อมต่อที่ปลอดภัยระหว่างเว็บเซิร์ฟเวอร์ และ data center ของ Cloudflare ที่ใกล้ที่สุด เพื่อซ่อนที่อยู่ IP ของเว็บเซิร์ฟเวอร์ และป้องกันการโจมตีแบบ volumetric distributed denial-of-service (DDoS) และการโจมตี brute-force login

สำหรับผู้ไม่ประสงค์ดีที่ได้สิทธิ์ระดับสูงบนโฮสต์ที่ถูกโจมตีนั้น feature นี้มีประโยชน์อย่างมากในการสร้าง Tunnel เพื่อเชื่อมต่อจากเครื่องของเหยื่อ

Finn อธิบายว่า "Tunnel จะอัปเดตทันทีเมื่อมีการเปลี่ยนแปลงการกำหนดค่าใน Cloudflare Dashboard ทำให้ผู้ไม่ประสงค์ดีสามารถเปิดใช้งานฟังก์ชันได้เฉพาะเมื่อต้องการดำเนินการบนเครื่องของเหยื่อ จากนั้นปิดใช้งานฟังก์ชัน เพื่อป้องกันการเปิดเผย infrastructure ของพวกเขา"

"ตัวอย่างเช่น ผู้ไม่ประสงค์ดีอาจเปิดใช้งานการเชื่อมต่อ RDP เพื่อเก็บข้อมูลจากเครื่องเหยื่อ แล้วปิดการเชื่อมต่อ RDP จนถึงวันถัดไป เพื่อลดโอกาสในการตรวจพบ หรือการสังเกตชื่อโดเมนที่ใช้เพื่อเชื่อมต่อ"

สิ่งที่น่าเป็นห่วงยิ่งกว่านั้น คือผู้ไม่ประสงค์ดีอาจใช้ประโยชน์จากฟังก์ชัน Private Networks เพื่อลักลอบเข้าถึง range ของที่อยู่ IP (หรือปลายทางของเครือข่ายภายใน) เสมือนว่า "อยู่ในตำแหน่งเดียวกับเครื่องของเป้าหมายที่เป็นโฮสต์ของ Tunnel"

เทคนิคนี้ได้ถูกนำมาใช้จริงแล้วในช่วงต้นปีนี้ Phylum และ Kroll ได้แสดงรายละเอียดเกี่ยวกับการโจมตีแบบ supply chain attacks ที่มีเป้าหมายไปที่ Python Package Index (PyPI) โดยที่พบว่าแพ็คเกจที่ไม่ถูกต้องถูกดาวน์โหลดเพื่อใช้ cloudflared เพื่อเข้าถึงจากภายนอกผ่าน Flask web application.

Finn ระบุว่า "องค์กรที่ใช้บริการจาก Cloudflare อาจจะสามารถจำกัดบริการของพวกเขาที่จะเชื่อมต่อไปยัง data centers และสร้างการตรวจจับสำหรับ traffic ต่าง ๆ เช่น Cloudflared tunnels ที่เชื่อมต่อไปที่อื่น ๆ นอกเหนือจาก data centers ที่ระบุไว้ ซึ่งวิธีนี้อาจช่วยในการตรวจจับ tunnel ที่ไม่ได้รับอนุญาตได้"

เพื่อป้องกันการถูกนำ Cloudflared มาใช้อย่างไม่ถูกต้อง แนะนำให้องค์กรใช้ logging mechanisms ที่เพียงพอเพื่อตรวจสอบคำสั่งที่ผิดปกติ ข้อมูลการเรียกใช้ DNS และการเชื่อมต่อออกไปภายนอก พร้อมกับการป้องกันการพยายามดาวน์โหลดไฟล์ executable

Ref : thehackernews

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware

 

ผู้ไม่ประสงค์ดีสร้าง Cloudflare DDoS Protection ปลอม เพื่อหลอกติดตั้ง NetSupport RAT และ Trojan RaccoonStealer

    ในการใช้งานอินเทอร์เน็ตทั่วไป ผู้ใช้งานมักพบกับหน้าจอ DDoS Protection ในการเข้าใช้งานเว็ปไซต์ ซึ่งมันมีหน้าที่สำหรับปกป้องเว็ปไซต์ปลายทางจากการโจมตี เช่น การส่ง Request ปลอมเป็นจำนวนมากที่ทำให้เซิฟเวอร์ล่ม แต่ในปัจจุบัน พบผู้ไม่ประสงค์ดีได้ใช้ประโยชน์จากหน้าจอแสดงผลเหล่านี้เพื่อติดตั้งมัลแวร์

ลักษณะการทำงาน

    เหตุการณ์นี้ค้นพบโดบผู้เชี่ยวชาญจาก Sucuri ซึ่งพบผู้โจมตีได้ทำการแฮ็กเว็ปไซต์ที่เขียนด้วย WordPress เมื่อทำการแฮ็กได้สำเร็จ ผู้โจมตีจะทำการเพิ่มเพย์โหลด JavaScript ลงไป เพื่อแสดงหน้าจอ Cloudflare DDoS Protection ปลอม

    เมื่อผู้ใช้งานเข้าสู่เว็ปไซต์ที่ถูกแฮ็ก จะพบ Pop-Up ขึ้นมาให้คลิกเพื่อข้ามหน้าจอ DDoS Protection เมื่อคลิกจะเป็นการดาวน์โหลดไฟล์ security_install.iso ซึ่ง Cloudflare ปลอมอ้างว่าเป็นโปรแกรมที่จำเป็นในการใช้งานเว็ปไซต์โดยจะมีหน้าต่างให้ใส่รหัส ซึ่งตรงนี้ผู้ใช้งานจำเป็นต้องติดตั้งโปรแกรมที่ดาวน์โหลดมาเพื่อรับรหัส

    ข้างในไฟล์ security_install.iso จะพบไฟล์ที่ชื่อ security_install.exe ซึ่งจริงๆแล้วเป็น Shortcut ที่เรียกใช้คำสั่ง PowerShell จากไฟล์ dbug.txt ที่แนบมาด้วย

    หลังจากผู้ใช้งานติดตั้งไฟล์ จะได้รับได้รหัสปลอมๆ มาสำหรับกรอกบนหน้าจอเพื่่อเข้าสู่เว็ปไซต์ แต่ในเบื้องหลังจะเป็นการติดตั้ง NetSupport RAT ซึ่งเป็นโทรจันสำหรับการเข้าถึงจากระยะไกลที่ใช้กันอย่างแพร่หลายในแคมเปญที่เป็นอันตรายในปัจจุบัน

Attack chain of the fake Cloudflare DDoS protection (Sucuri)

    นอกเหนือจากการติดตั้ง NetSupport RAT แล้ว สคริปต์ที่ทำงานจะดาวน์โหลดโทรจันสำหรับใช้ขโมยรหัสผ่าน Raccoon Stealer มาด้วย ซึ่งจะเปิดใช้งานทันทีหลังติดตั้งเสร็จในเดือนมิถุนายนที่ผ่านมา Raccoon Stealer ได้ทำการอัพเดทเป็น Verson 2.0 ทำให้มันสามารถขโมยข้อมูลที่เป็นรหัสผ่าน, คุกกี้ และบัตรเครดิตที่บันทึกไว้ในเว็ปเบราว์เซอร์ได้ นอกจากนี้ยังสามารถทำการบันทึกภาพหน้าจอของผู้ใช้งานได้อีกด้วย

แนวทางการป้องกัน

• ผู้ดูแลระบบควรตรวจสอบเว็ปไซต์ของตนอย่างสม่ำเสมอ ว่ามีสคริปต์แปลกปลอมถูกฝังไว้อยู่หรือไม่
• ผู้ใช้งานอินเทอร์เน็ตสามารถป้องกันได้โดยเปิดใช้งานการบล็อก JavaScript บนเบราว์เซอร์ แต่อย่างไรก็ตาม การเปิดใช้งานอาจส่งผลต่อการทำงานของเว็ปไซต์อื่น ๆ เช่นกัน
• ควรตรวจสอบไฟล์เสมอก่อนทำการดาวน์โหลดทุกครั้ง นอกจากนี้ยังไม่พบว่ามีไฟล์ ISO ชนิดใดที่เกี่ยวข้องกับขั้นตอนการตรวจสอบ DDoS Protection

WordPress sites hacked with fake Cloudflare DDoS alerts pushing malware