แสดงบทความที่มีป้ายกำกับ injection แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ injection แสดงบทความทั้งหมด

09/09/2567

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ Root ที่ถูกโจมตีด้วย Public Exploit Code


Cisco ได้แก้ไขช่องโหว่ command injection ด้วย public exploit code ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้
CVE-2024-20469 (คะแนน CVSS 6.0/10.0 ความรุนแรงระดับ Medium) เป็นช่องโหว่ OS command injection ที่เกิดจากการตรวจสอบ input validation ของ user-supplied ที่ไม่เพียงพอใน Cisco ISE เมื่อผู้ไม่ประสงค์ดีสามารถโจมตีช่องโหว่ได้ด้วยการส่งคำสั่ง CLI ที่เป็นอันตรายในการโจมตี และมีความซับซ้อนต่ำ จึงทำให้ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน
ทั้งนี้ผู้ไม่ประสงค์ดีจะสามารถใช้ช่องโหว่ในการโจมตีได้สำเร็จ เฉพาะในกรณีที่มีสิทธิ์ของผู้ดูแลระบบ บนระบบที่มีช่องโหว่เท่านั้น
Cisco Identity Services Engine (ISE) ของ Cisco เป็นซอฟต์แวร์ควบคุมการเข้าถึงเครือข่ายตามข้อมูล identity-based และ policy enforcement ที่ช่วยให้สามารถจัดการอุปกรณ์เครือข่าย และควบคุมการเข้าถึงระบบขององค์กร

เวอร์ชันที่ได้รับผลกระทบของ Cisco ISE
Cisco ISE เวอร์ชัน 3.1 และก่อนหน้า ไม่ได้รับผลกระทบ
Cisco ISE เวอร์ชัน 3.2 ได้รับการแก้ไขใน เวอร์ชัน 3.2P7 (Sep 2024)
Cisco ISE เวอร์ชัน 3.3 ได้รับการแก้ไขใน เวอร์ชัน 3.3P4 (Oct 2024)
Cisco ISE เวอร์ชัน 3.4 ไม่ได้รับผลกระทบ
ปัจจุบัน Cisco ยังไม่พบหลักฐานของผู้ไม่ประสงค์ดีที่กำลังใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึง Cisco ได้แจ้งเตือนลูกค้าว่าได้ลบ backdoor account ลับ ๆ ออกจากซอฟต์แวร์ Smart Licensing Utility Windows แล้ว ซึ่งผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้าสู่ระบบที่มีช่องโหว่โดยใช้สิทธิ์ของผู้ดูแลระบบ

ในเดือนเมษายน 2024 บริษัทได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Integrated Management Controller (IMC) (CVE-2024-20295) ซึ่งทำให้ผู้ไม่ประสงค์ดีที่เข้าถึงระบบได้ สามารถยกระดับสิทธิ์ให้เป็นระดับ root ได้อีกด้วย
รวมถึงช่องโหว่ CVE-2024-20401 ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเพิ่มผู้ใช้ root และทำให้เครื่องมือ Security Email Gateway (SEG) ไม่สามารถตรวจสอบอีเมลที่เป็นอันตราย ซึ่งได้รับการแก้ไขช่องโหว่ไปแล้วเช่นเดียวกันเมื่อเดือนที่ผ่านมา
อีกทั้งมีการแจ้งเตือนเกี่ยวกับ CVE-2024-20419 ช่องโหว่ระดับ Critical ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านผู้ใช้บนเซิร์ฟเวอร์ Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) ที่มีช่องโหว่ รวมถึงสิทธ์ของผู้ดูแลระบบด้วย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

05/09/2567

ผู้ไม่ระสงค์ดีทำการ โจมตีไปยัง Cisco Store เพื่อขอโมยข้อมูลบัตรเครดิตและ Credentials


    ไซต์ของ Cisco ที่ใช้ขายสินค้าธีมบริษัทกำลังอยู่ในสถานะออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกผู้ไม่ประสงค์ดีเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลลูกค้าสำคัญที่กรอกในขั้นตอนการชำระเงิน
    เว็บไซต์ของ Cisco สำหรับการขายสินค้าธีมบริษัทกำลังออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลสำคัญในขั้นตอนการชำระเงิน
    ยังไม่ชัดเจนว่าโค้ด JavaScript ที่เป็นอันตรายนี้เข้ามาในร้านค้าของ Cisco ได้อย่างไร แต่ BleepingComputer ได้รับการบอกเล่าจากผู้เชี่ยวชาญด้านความปลอดภัยที่ไม่ประสงค์จะออกนามว่าดูเหมือนว่าจะเป็นการโจมตีแบบ CosmicSting (CVE-2024-34102)
    Cisco Merchandise Store เป็นร้านขายของที่ระลึกที่มีสินค้าประดับแบรนด์ Cisco เช่น เสื้อผ้าและเครื่องประดับ (แก้วน้ำ ขวดน้ำ หมวก พาวเวอร์แบงค์ กระเป๋า สติ๊กเกอร์ ของเล่น) ณ ขณะนี้ ร้านค้า Cisco ในสหรัฐอเมริกา ยุโรป และภูมิภาคเอเชียแปซิฟิก ญี่ปุ่น และจีน (APJC) ไม่สามารถเข้าถึงได้ ขโมยบัตรเครดิตและข้อมูลการเข้าสู่ระบบ โค้ด JavaScript นี้มีการเข้ารหัสซับซ้อนและถูกส่งมาจากโดเมน rextension.[net] ที่ลงทะเบียนเมื่อวันที่ 30 สิงหาคม สองวันก่อนที่ BleepingComputer จะทราบถึงการโจมตี ซึ่งแสดงให้เห็นว่าการเจาะระบบเกิดขึ้นในช่วงสุดสัปดาห์


    สคริปต์ที่เป็นอันตรายนี้มีการเข้ารหัสซับซ้อนสูงและมีวัตถุประสงค์เพื่อรวบรวมข้อมูลที่กรอกในขั้นตอนการชำระเงิน เช่น รายละเอียดบัตรเครดิตทั้งหมดที่จำเป็นสำหรับการชำระเงินออนไลน์
    BleepingComputer สามารถถอดรหัสส่วนหนึ่งของสคริปต์และพบว่ามันสามารถขโมยข้อมูลเพิ่มเติมอื่น ๆ ได้ด้วย รวมถึงที่อยู่ไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้


    ตามที่นักวิจัยที่ค้นพบการโจมตีนี้ ระบุว่าผู้โจมตีมีแนวโน้มใช้ช่องโหว่ CosmicSting ในการฝังโค้ด JavaScript ที่เป็นอันตรายลงในร้านค้าของ Cisco
    CosmicSting เป็นปัญหาด้านความปลอดภัยที่มีความรุนแรงระดับวิกฤติ ซึ่งส่งผลกระทบต่อแพลตฟอร์มการช้อปปิ้ง Adobe Commerce (Magento) มันเป็นการโจมตีแบบ XML External Entity Injection (XXE) ที่ช่วยให้ผู้โจมตีสามารถอ่านข้อมูลส่วนตัวได้
    ในการโจมตีแบบ CosmicSting ผู้โจมตีมีเป้าหมายที่จะฝังโค้ด HTML หรือ JavaScript ในบล็อก CMS ที่แสดงผลในขั้นตอนการชำระเงิน Willem de Groot ผู้ก่อตั้งและสถาปนิกที่ Sansec อธิบายกับ BleepingComputer
    แม้ว่าเว็บไซต์ของ Cisco จะถูกใช้โดยพนักงานส่วนใหญ่ในการซื้อสินค้าสำหรับตัวเองหรือเป็นของขวัญ สคริปต์ที่เป็นอันตรายอาจทำให้ผู้โจมตีสามารถเก็บข้อมูลรับรองการเข้าสู่ระบบของพนักงาน Cisco ได้
BleepingComputer ได้ติดต่อ Cisco เพื่อขอความคิดเห็นเกี่ยวกับการโจมตีนี้ แต่ยังไม่ได้รับการตอบกลับในเวลาที่ตีพิมพ์ข่าวนี้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

26/08/2567

พบการโจมตีด้วย CobaltStrike beacons จากผู้ไม่ประสงค์ดีโดยมีเป้าหมายเป็น App Domain (AppDomain Injection)


    การโจมตีที่เริ่มขึ้นในเดือนกรกฎาคม 2024 อาศัยเทคนิคที่ไม่ค่อยพบมากนักที่เรียกว่า AppDomain Manager Injection ซึ่งสามารถทำให้แอปพลิเคชัน Microsoft .NET ใด ๆ บน Windows กลายเป็นอาวุธได้
เทคนิคนี้มีมาตั้งแต่ปี 2017 และมีการปล่อยแอปพลิเคชันต้นแบบหลายตัวออกมาตลอดหลายปีที่ผ่านมา อย่างไรก็ตาม เทคนิคนี้มักถูกใช้ในงานของทีมสีแดง (red team engagements) และไม่ค่อยพบในการโจมตีที่เป็นอันตราย โดยผู้ป้องกันไม่ได้ติดตามเทคนิคนี้อย่างจริงจัง
    หน่วยงานสาขาญี่ปุ่นของ NTT ได้ติดตามการโจมตีที่ลงท้ายด้วยการปล่อย CobaltStrike beacon ที่มุ่งเป้าไปยังหน่วยงานรัฐบาลในไต้หวัน กองทัพในฟิลิปปินส์ และองค์กรพลังงานในเวียดนาม
ยุทธวิธี เทคนิค และกระบวนการ (TTP) รวมถึงโครงสร้างพื้นฐานที่มีความคล้ายคลึงกับรายงานล่าสุดจาก AhnLab และแหล่งข้อมูลอื่น ๆ บ่งชี้ว่ากลุ่มภัยคุกคาม APT 41 ที่ได้รับการสนับสนุนจากรัฐจีนอาจอยู่เบื้องหลังการโจมตีเหล่านี้ แม้ว่าการระบุแหล่งที่มานี้จะมีความมั่นใจต่ำ

AppDomain Manager Injection
    คล้ายกับการโหลด DLL แบบมาตรฐานจากที่ต่าง ๆ (DLL side-loading) เทคนิค AppDomainManager Injection ก็เกี่ยวข้องกับการใช้ไฟล์ DLL เพื่อบรรลุเป้าหมายที่เป็นอันตรายบนระบบที่ถูกเจาะ
อย่างไรก็ตาม AppDomain Manager Injection ใช้ประโยชน์จากคลาส AppDomainManager ของ .NET Framework ในการฝังและรันโค้ดที่เป็นอันตราย ทำให้เทคนิคนี้ซ่อนตัวได้ดีกว่าและมีความยืดหยุ่นมากกว่า
ผู้ไม่ประสงค์ดีจะเตรียมไฟล์ DLL ที่เป็นอันตรายซึ่งมีคลาสที่อยู่ในคลาส AppDomainManager และไฟล์การกำหนดค่า (exe.config) ที่เปลี่ยนเส้นทางการโหลดของแอสเซมบลีที่ถูกต้องไปยังไฟล์ DLL ที่เป็นอันตราย

    ผู้ไม่ประสงค์ดีเพียงแค่วางไฟล์ DLL ที่เป็นอันตรายและไฟล์การกำหนดค่าในไดเรกทอรีเดียวกับไฟล์ที่รันเป้าหมาย โดยไม่จำเป็นต้องใช้ชื่อเดียวกับ DLL ที่มีอยู่เหมือนในเทคนิค DLL side-loading
เมื่อแอปพลิเคชัน .NET รันขึ้นมา ไฟล์ DLL ที่เป็นอันตรายจะถูกโหลดและโค้ดของมันจะถูกดำเนินการภายในบริบทของแอปพลิเคชันที่ถูกต้องตามกฎหมาย
ต่างจากเทคนิค DLL side-loading ที่ซอฟต์แวร์รักษาความปลอดภัยสามารถตรวจจับได้ง่ายกว่า AppDomainManager Injection นั้นตรวจจับได้ยากกว่า เนื่องจากพฤติกรรมที่เป็นอันตรายจะดูเหมือนมาจากไฟล์ที่เป็นแอปพลิเคชันที่ถูกต้องและลงนามแล้ว

การโจมตี GrimResource
    การโจมตีที่ NTT พบเริ่มต้นด้วยการส่งไฟล์ ZIP ไปยังเป้าหมายที่มีไฟล์ MSC (Microsoft Script Component) ที่เป็นอันตราย
เมื่อเป้าหมายเปิดไฟล์ โค้ดที่เป็นอันตรายจะถูกดำเนินการทันทีโดยไม่ต้องมีการโต้ตอบหรือคลิกเพิ่มเติมจากผู้ใช้ โดยใช้เทคนิคที่เรียกว่า GrimResource ซึ่งอธิบายโดยละเอียดโดยทีมรักษาความปลอดภัยของ Elastic ในเดือนมิถุนายน
    GrimResource เป็นเทคนิคการโจมตีใหม่ที่ใช้ประโยชน์จากช่องโหว่การข้ามไซต์ (XSS) ในไลบรารี apds.dll ของ Windows เพื่อดำเนินการโค้ดตามที่ต้องการผ่าน Microsoft Management Console (MMC) โดยใช้ไฟล์ MSC ที่สร้างขึ้นมาโดยเฉพาะ
เทคนิคนี้ทำให้ผู้ไม่ประสงค์ดีสามารถรัน JavaScript ที่เป็นอันตราย ซึ่งจะรันโค้ด .NET ผ่านวิธีการ DotNetToJScript
ไฟล์ MSC ในการโจมตีครั้งล่าสุดที่ NTT พบ สร้างไฟล์ exe.config ในไดเรกทอรีเดียวกันกับไฟล์ Microsoft ที่ถูกต้องและลงนามแล้ว (เช่น oncesvc.exe)


    ไฟล์การกำหนดค่านี้จะเปลี่ยนเส้นทางการโหลดแอสเซมบลีบางตัวไปยัง DLL ที่เป็นอันตราย ซึ่งมีคลาสที่อยู่ในมาจากคลาส AppDomainManager ของ .NET Framework และถูกโหลดแทนแอสเซมบลีที่ถูกต้องตามกฎหมาย
    ในที่สุด DLL นี้จะรันโค้ดที่เป็นอันตรายภายในบริบทของไฟล์ที่เป็นแอปพลิเคชันของ Microsoft ที่ถูกต้องและลงนามแล้ว ทำให้สามารถหลีกเลี่ยงการตรวจจับและข้ามมาตรการรักษาความปลอดภัยได้อย่างสมบูรณ์

    ขั้นตอนสุดท้ายของการโจมตีคือการโหลด CobaltStrike beacon ลงในเครื่อง ซึ่งผู้ไม่ประสงค์ดีอาจใช้เพื่อดำเนินการกระทำที่เป็นอันตรายได้หลากหลาย รวมถึงการนำเสนอ payload เพิ่มเติมและการเคลื่อนที่ข้ามเครือข่าย แม้ว่าจะไม่แน่ใจว่ากลุ่ม APT41 เป็นผู้รับผิดชอบการโจมตีเหล่านี้ แต่การใช้เทคนิค AppDomainManager Injection และ GrimResource ร่วมกันบ่งชี้ว่าผู้ไม่ประสงค์ดีมีความเชี่ยวชาญทางเทคนิคในการผสมผสานเทคนิคใหม่และน้อยคุ้นเคยในกรณีปฏิบัติจริง

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)