Phreesia บริษัทผู้ให้บริการซอร์ฟแวร์ด้านการดูแลสุขภาพ (SaaS) ได้ออกมาแจ้งเตือนผู้เสียหายกว่า 910,000 ราย จากเหตุการณ์ข้อมูลส่วนบุคคล และข้อมูลสุขภาพรั่วไหล จากการที่บริษัทในเครือ ConnectOnCall ถูกโจมตีในเดือนพฤษภาคมที่ผ่านมา ซึ่งเป็นบริษัทที่ acquired มาตั้งแต่เดือนตุลาคม ปี 2023

ConnectOnCall คือ แพลตฟอร์มที่ให้บริการด้านการดูแลสุขภาพแบบทางไกล (Telehealth) โดยสามารถตอบรับสายนอกเวลาทำการพร้อมทั้งติดตามการโทรของผู้ป่วยแบบอัตโนมัติ ซึ่งเป็นบริการสำหรับผู้ให้บริการด้านการดูแลสุขภาพ

ทางบริษัทระบุว่า “เมื่อวันที่ 12 พฤษภาคม 2024, ConnectOnCall รับทราบถึงปัญหาที่ส่งผลกระทบต่อ ConnectOncall และเริ่มดำเนินการตรวจสอบทันที รวมถึงดำเนินการในส่วนที่จำเป็นสำหรับการรักษาความปลอดภัยของผลิตภัณฑ์ และรับรองความปลอดภัยโดยรวมของบริษัท”

“การสอบสวนโดย ConnectOnCall มีการเปิดเผยว่า ในช่วงระหว่างวันที่ 16 กุมภาพันธ์ 2024 และ 12 พฤษภาคม 2024 มีกลุ่มผู้ไม่หวังดีสามารถเข้าถึง ConnectOnCall และ ข้อมูลบางส่วนในแอปพลิเคชันได้ ซึ่งรวมไปถึงข้อมูลเฉพาะที่จำเป็นในการให้บริการการสื่อสารระหว่างผู้ป่วย และผู้ให้บริการ”

ภายหลังจากการค้นพบการรั่วไหลของข้อมูล ทาง Phreesia ได้แจ้งไปยังหน่วยงานบังคับใช้กฏหมายของรัฐฯ เกี่ยวกับเหตุการณ์ความเสียหายที่เกิดขึ้น รวมทั้งดำเนินการจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อตรวจสอบลักษณะ และผลกระทบจากเหตุการณ์ดังกล่าว

Phreesia ได้หยุดให้บริการ ConnectOnCall ชั่วคราวโดยปรับเป็นแบบออฟไลน์ รวมทั้งดำเนินการกู้คืนระบบพร้อม ๆ กันกับสร้างสภาพแวดล้อมใหม่ให้ระบบที่จะกู้คืนมาได้ปลอดภัยมากยิ่งขึ้น

ถึงแม้ว่าคำแถลงการณ์ดังกล่าวจะไม่ได้ระบุถึงจำนวนผู้ที่ได้รับผลกระทบ โดยทาง ConnectOnCall ได้แจ้งกับทางกระทรวงสาธารณสุข และบริการมนุษย์ของสหรัฐอเมริกา (U.S. Department of Health and Human Services) ถึงเหตุการณ์ข้อมูลถูกละเมิด ที่ส่งผลกระทบต่อข้อมูลสุขภาพที่ได้รับการคุ้มครองของผู้ป่วยกว่า 914,138 ราย ดังรูป

ข้อมูลส่วนบุคคลที่ถูกเปิดเผยในช่วงสามเดือนที่ข้อมูลถูกละเมิดนั้น เป็นข้อมูลการสื่อสารระหว่างผู้ป่วยหลายราย และผู้ให้บริการทางการแพทย์หลายเจ้า เช่น ชื่อ, เบอร์โทรศัพท์

นอกจากนี้ยังอาจรวมถึงหมายเลขเวชระเบียน, วันเดือนปีเกิด รวมถึงข้อมูลที่เกี่ยวข้องกับสภาวะสุขภาพ, การรักษา หรือใบสั่งยา และในบางกรณียังรวมไปถึงเลขประกันสังคม (Social Security Numbers) ของผู้ป่วยที่ได้รับผลกระทบอีกด้วย

Phreesia ได้ระบุในคำแถลงการณ์บนเว็บไซต์อย่างเป็นทางการว่า “บริการ ConnectOnCall ถูกแยกออกจากบริการอื่น ๆ ของ Phreesia อยู่แล้ว ซึ่งรวมไปถึงการแยกข้อมูลของผู้ป่วยที่นำเข้ามาในแพลตฟอร์มเช่นกัน โดยอ้างอิงจากการตรวจสอบจนถึงปัจจุบัน พบว่าไม่มีหลักฐานใดที่บ่งบอกว่าระบบบริการอื่น ๆ ของบริษัทได้รับผลกระทบจากเหตุการณ์ดังกล่าว”

“บริษัทเข้าใจถึงความสำคัญของบริการนี้ต่อธุรกิจของลูกค้า และกำลังพยายามดำเนินการกู้คืนระบบบริการ ConnectOncall เพื่อให้สามารถกลับมาให้บริการได้อย่างรวดเร็วที่สุดเท่าที่จะเป็นไปได้ ”

นอกจากนี้ทาง Phreesia ยังได้ให้คำแนะนำกับบุคคลที่อาจได้รับผลกระทบจากการโจรกรรมข้อมูลส่วนบุคคล หรือการแอบอ้าง, การฉ้อโกงต่อบริษัทประกันภัย, แผนประกันสุขภาพ หรือสถาบันทางการเงินของตนเอง ถึงแม้ว่าทางบริษัทจะยังไม่พบหลักฐานที่บ่งชี้ว่ามีการนำข้อมูลที่โจรกรรมได้ออกไปนั้นไปใช้งานในทางที่ผิดก็ตาม

ที่มา : bleepingcomputer.

เมื่อวันที่ 11 ธันวาคม ยักษ์ใหญ่ในวงการขนมหวานอย่าง Krispy Kreme เปิดเผยว่า บริษัทกำลังประสบปัญหาการถูกละเมิดข้อมูลในเครือข่าย

Krispy Kreme ระบุว่า "การดำเนินงานทั่วไปไม่ได้รับผลกระทบจากการถูกละเมิดข้อมูล แต่บริษัทยังต้องเปิดเผยเหตุการณ์ดังกล่าวต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ของสหรัฐฯ ในการยื่นเอกสารตามข้อกำหนด"

Krispy Kreme ระบุในเอกสารที่ยื่นเพื่อสร้างความมั่นใจว่า "ร้าน Krispy Kreme ทั่วโลกเปิดให้บริการตามปกติ และลูกค้าสามารถสั่งซื้อสินค้าได้ที่หน้าร้าน แต่บริษัทกำลังประสบปัญหาการดำเนินงานบางอย่าง รวมถึงการสั่งซื้อออนไลน์ในบางส่วนของสหรัฐฯ"

"การส่งสินค้าใหม่ทุกวันไปยังพันธมิตรร้านค้าปลีก และร้านอาหารของเราไม่ได้หยุดชะงัก"

Krispy Kreme ไม่ได้ให้รายละเอียดเกี่ยวกับลักษณะของการละเมิดข้อมูล และระบุว่ากำลังดำเนินการสอบสวนเหตุการณ์ดังกล่าว

แม้ว่าการละเมิดข้อมูลที่ร้านโดนัทอาจดูเหมือนไม่ใช่เรื่องใหญ่ แต่ก็ยังมีเหตุผลที่ผู้บริโภคควรกังวลเกี่ยวกับเรื่องต่าง ๆ เนื่องจาก Krispy Kreme มีการดำเนินการจัดการข้อมูลบัตรชำระเงิน ทำให้อาจมีบัตรเครดิตของบริษัทหลายใบที่เก็บอยู่ในฐานข้อมูลของพวกเขา

Krispy Kreme ระบุต่อ SEC ว่า "บริษัทพร้อมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอก ยังคงทำงานอย่างหนักเพื่อตอบสนอง และลดผลกระทบจากเหตุการณ์นี้ รวมถึงการฟื้นฟูระบบการสั่งซื้อออนไลน์ และได้แจ้งหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลางแล้ว"

"เนื่องจากการสอบสวนเหตุการณ์ยังคงดำเนินอยู่ ขอบเขต, ลักษณะ และผลกระทบของเหตุการณ์ยังไม่ได้รับการเปิดเผย"

ปัจจุบันบริษัทยังไม่ได้ให้ข้อมูลว่าใครเป็นกลุ่มผู้โจมตี หรือแรงจูงใจของการโจมตีคืออะไร

Trey Ford CISO จาก Bugcrowd ระบุว่า ไม่มีความเสี่ยงที่สำคัญในการเปิดเผยข้อมูลส่วนตัว เนื่องจากบริษัทได้ดำเนินการตามขั้นตอนที่เหมาะสมในการแยกข้อมูลบัตรชำระเงินออกจากระบบปกติ

โดย Ford ระบุว่า "มีการแยกระบบระหว่างแพลตฟอร์มการสั่งซื้อออนไลน์ และแพลตฟอร์มการจัดการร้าน รวมถึงลูกค้ายังสามารถไปเยี่ยมชมหน้าร้านจริงเพื่อซื้อโดนัท และกาแฟได้แม้ว่าอาจจะต้องรอเพิ่มอีกนิดหน่อยก็ตาม"

Krispy Kreme ระบุว่า บริษัทได้ปรึกษากับผู้ให้บริการประกันภัยทางไซเบอร์แล้ว และไม่คาดว่าเหตุการณ์นี้จะมีผลกระทบต่อผลประกอบการของบริษัท

ที่มา : https://www.

พบมัลแวร์ rootkit ตัวใหม่บนระบบ Linux ชื่อ 'Pumakit' ซึ่งใช้เทคนิคการซ่อนตัว และการยกระดับสิทธิ์ขั้นสูงเพื่อปกปิดการมีอยู่ในระบบ

มัลแวร์ดังกล่าวเป็นชุดซอฟต์แวร์หลายส่วน ประกอบไปด้วย Dropper, ไฟล์ปฏิบัติการที่ทำงานในหน่วยความจำ, kernel module rootkit และ shared object (SO) userland rootkit

Pumakit ถูกพบโดย Elastic Security ในไฟล์ไบนารีชื่อ 'cron' ที่ถูกอัปโหลดไว้บน VirusTotal เมื่อวันที่ 4 กันยายน 2024 โดยทางทีมงานได้ระบุว่า ยังไม่ทราบอย่างแน่ชัดว่าใครเป็นผู้ใช้งาน หรือเป้าหมายของมัลแวร์คืออะไร

โดยปกติ เครื่องมือเหล่านี้จะถูกใช้โดยผู้ไม่หวังดีที่มีความเชี่ยวชาญสูง ซึ่งมุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ และระบบขององค์กร เพื่อขโมยข้อมูล, ข้อมูลทางการเงิน และก่อให้เกิดการหยุดชะงักของระบบ

The Pumakit

Pumakit ใช้การโจมตีแบบหลายขั้นตอน โดยเริ่มจาก dropper ที่ชื่อ 'cron' ซึ่งจะดำเนินการดาวน์โหลดเพย์โหลดที่ฝังอยู่ใน ('/memfd:tgt' และ '/memfd:wpn') ทั้งหมดจากหน่วยความจำ

เพย์โหลด '/memfd:wpn' ทำงานใน child process โดยจะดำเนินการตรวจสอบสภาพแวดล้อม และแก้ไข kernel image ก่อนที่จะติดตั้งโมดูล LKM rootkit ('puma.

Citrix Netscaler ได้กลายเป็นเป้าหมายล่าสุดของการโจมตีในรูปแบบ Password Spray ในปีนี้ โดยมุ่งเป้าไปที่อุปกรณ์ edge networking และ cloud platform เพื่อโจมตีเครือข่ายขององค์กร

ในเดือนมีนาคม 2024 ทาง Cisco รายงานว่าพบ Hacker กำลังทำการโจมตีแบบ Password Spray บนอุปกรณ์ VPN ของ Cisco ซึ่งบางครั้งการโจมตีดังกล่าวทำให้เกิด Denial-of-Service ทำให้ Cisco ค้นพบช่องโหว่ DDoS ซึ่งได้ทำการแก้ไขไปแล้วในเดือนตุลาคม 2024

ในเดือนตุลาคม 2024 ทาง Microsoft ได้แจ้งเตือนว่า Quad7 Botnet กำลังมุ่งเป้าโจมตีอุปกรณ์เครือข่าย เช่น TP-Link, Asus, Ruckus, Axentra และ Zyxel เพื่อโจมตีแบบ Password Spray ผ่าน cloud services

รวมถึงหน่วยงานความปลอดภัยทางไซเบอร์ของเยอรมนี (BSI) ได้แจ้งเตือนถึงรายงานจำนวนมากที่ระบุว่าอุปกรณ์ Citrix Netscaler ตกเป็นเป้าหมายของการโจมตีด้วยวิธีการ Password Spray ในลักษณะที่คล้ายกัน เพื่อขโมยข้อมูล login credentials เพื่อเข้าสู่เครือข่าย

ข่าวการโจมตี Citrix Netscaler ดังกล่าวได้รับการรายงานครั้งแรกโดย Born City เมื่อสัปดาห์ที่แล้ว โดยผู้ใช้งานระบุว่าพวกเขาเริ่มประสบกับการโจมตีแบบบ Brute Force Attacks บนอุปกรณ์ Citrix Netscaler ของพวกเขามาตั้งแต่เดือนพฤศจิกายน 2024 และต่อเนื่องถึงเดือนธันวาคม 2024

ผู้ใช้งานบางรายระบุว่า ได้ถูกโจมตีเพื่อเข้าถึงข้อมูล account credentials โดยใช้ชื่อผู้ใช้ทั่วไปหลากหลายประเภทระหว่าง 20,000 ถึง 1 ล้านครั้ง โดยมีรายละเอียดดังนี้:

test, testuser1, veeam, sqlservice, scan, ldap, postmaster, vpn, fortinet, confluence, vpntest, stage, xerox, svcscan, finance, sales

รวมไปถึง การโจมตีแบบ Password Spray ได้แก่ ชื่อ, ชื่อ-นามสกุล และที่อยู่อีเมล

Citrix ออกคำแนะนำการป้องกัน

Citrix ได้ออกเอกสารแจ้งเตือนด้านความปลอดภัยเกี่ยวกับการโจมตีด้วยวิธีการ Password Spray ที่กำลังเพิ่มมากขึ้นในอุปกรณ์ Netscaler และได้ให้แนวทางแก้ไขเกี่ยวกับวิธีลดผลกระทบจากการโจมตีดังกล่าว

Citrix ระบุว่าการโจมตีด้วยวิธีการ Password Spray นั้นมีต้นทางจาก IP addresses ที่หลากหลาย ทำให้ยากต่อการบล็อก IP หรือการทำ rate limiting รวมถึงการพยายาม authentication จำนวนมากที่เกิดขึ้นอย่างกะทันหันอาจทำให้อุปกรณ์ Citrix Netscaler ที่กำหนดค่าไว้ให้ใช้ normal login volume เกิดการบันทึกข้อมูล log ที่มากขึ้น และทำให้ไม่สามารถใช้อุปกรณ์ได้ หรือมีปัญหาด้านประสิทธิภาพการทำงาน

ทั้งนี้การโจมตีที่ถูกพบ authentication requests จะมุ่งเป้าไปที่ pre-nFactor endpoints ซึ่งเป็น historical authentication URL ที่ใช้เพื่อความเข้ากันได้กับ legacy configurations

Citrix ได้เผยแพร่แนวทางลดผลกระทบจากการโจมตี ได้แก่:

เปิดใช้งาน multi-factor authentication (MFA) ก่อน LDAP factor
เนื่องจากการโจมตีมุ่งเป้าไปที่ IP addresses ทาง Citrix แนะนำให้สร้าง Policy เพื่อให้ authentication requests ถูกยกเลิก ยกเว้นจะพยายาม authentication กับชื่อโดเมนที่ระบุไว้
บล็อก Netscaler endpoints ที่เกี่ยวข้องกับ pre-nFactor authentication requests เว้นแต่จะจำเป็นต้องใช้สำหรับ environment ขององค์กร
ใช้ Web application firewall (WAF) เพื่อบล็อกที่ IP addresses ที่มีความเสี่ยง ที่เกิดจากพฤติกรรมอันตรายก่อนหน้า
Citrix ระบุว่าลูกค้าที่ใช้บริการ Gateway ไม่จำเป็นต้องใช้แนวทางลดผลกระทบเหล่านี้ เนื่องจากแนวทางเหล่านี้ใช้กับอุปกรณ์ NetScaler/NetScaler Gateway ที่ติดตั้งภายใน On premise หรือ On cloud เท่านั้น ซึ่งจะส่งผลกระทบเฉพาะ NetScaler firmware versions ที่สูงกว่า หรือเท่ากับ 13.0 เท่านั้น

สามารถตรวจสอบคำแนะนำโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการใช้แนวทางลดผลกระทบเหล่านี้ได้ใน Citrix advisory

ที่มา : bleepingcomputer

Microsoft ออก Patch Tuesday ประจำเดือนธันวาคม 2024 โดยแก้ไขช่องโหว่ 71 รายการ รวมถึงช่องโหว่ zero-days 1 รายการ ที่พบว่ากำลังถูกนำมาใช้ในการโจมตีอีกด้วย

Patch Tuesday ประจำเดือนพฤศจิกายน 2024 ได้แก้ไขช่องโหว่ระดับ Critical จำนวน 16 รายการ ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution)

ช่องโหว่ในแต่ละประเภทมีดังต่อไปนี้ :

ช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) 27 รายการ
ช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution) 30 รายการ
ช่องโหว่ในการเปิดเผยข้อมูล (Information Disclosure) 7 รายการ
ช่องโหว่ที่ทำให้เกิด DoS (Denial of Service) 5 รายการ
ช่องโหว่ของการปลอมแปลง (Spoofing) 1 รายการ
ทั้งนี้ไม่ได้รวมช่องโหว่ของ Edge จำนวน 2 รายการที่ได้รับการแก้ไขไปก่อนหน้านี้เมื่อวันที่ 5 และ 6 ธันวาคม 2024

ช่องโหว่ Zero-Days ที่ได้รับการเปิดเผยออกสู่สาธารณะ

Patch Tuesday ประจำเดือนธันวาคม 2024 ได้แก้ไขช่องโหว่ zero-days โดยเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตี และได้รับการเปิดเผยออกสู่สาธารณะแล้ว 1 รายการ แต่ยังไม่ได้รับการแก้ไข

ช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 1 รายการใน Patch Tuesday ประจำเดือนธันวาคม 2024 :

CVE-2024-49138 - Windows Common Log File System Driver Elevation of Privilege Vulnerability

Microsoft ได้แก้ไขช่องโหว่ zero-day ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง ซึ่งทำให้ Hacker สามารถได้รับสิทธิ์ SYSTEM บน Windows ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย Advanced Research Team ของ CrowdStrike

ทั้งนี้ยังไม่มีการเปิดเผยข้อมูลว่าช่องโหว่ดังกล่าวถูกนำไปใช้ในการโจมตีได้อย่างไร

การอัปเดตด้านความปลอดภัยจากบริษัทอื่น ๆ

นอกจาก Microsoft ได้ออกแพตซ์อัปเดต Patch Tuesday ประจำเดือนธันวาคม 2024 แล้ว ยังมีบริษัทอื่น ๆ ที่ออกแพตซ์อัปเดตด้านความปลอดภัยเช่นกัน ได้แก่ :

Adobe ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ต่าง ๆ มากมาย รวมถึง Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge และอื่น ๆ อีกมากมาย
CISA ออกคำแนะนำเกี่ยวกับช่องโหว่ของระบบควบคุมอุตสาหกรรมใน MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation และ Ruijie
Cleo security file transfer ได้รับผลกระทบจากการโจมตีจากช่องโหว่ zero-day เพื่อขโมยข้อมูล
Cisco ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการ รวมถึง Cisco NX-OS และ Cisco ASA
พบช่องโหว่ zero-day บน router ของ IO-Data กำลังถูกใช้ในการโจมตีเพื่อเข้าควบคุมอุปกรณ์
0patch เปิดตัวแพตช์ที่ไม่เป็นทางการสำหรับช่องโหว่ zero-day ของ Windows ที่ทำให้ Hacker สามารถขโมยข้อมูล NTLM credentials ได้
OpenWrt ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ Sysupgrade ที่ทำให้ผู้ Hacker สามารถเผยแพร่ firmware images ที่เป็นอันตรายได้
SAP ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์หลายรายการซึ่งเป็นส่วนหนึ่งของ Patch Day เดือนธันวาคม 2024
Veeam ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ RCE ที่สำคัญใน Service Provider Console
ที่มา : bleepingcomputer

Cleo ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Day ใน LexiCom, VLTransfer และ Harmony software ที่กำลังถูกใช้ในการโจมตีเพื่อขโมยข้อมูลอยู่ในปัจจุบัน

ในเดือนตุลาคม 2024 ทาง Cleo ได้แก้ไขช่องโหว่ CVE-2024-50623 (คะแนน CVSS 8.8/10 ความรุนแรงระดับ High) ซึ่งเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลก่อนการยืนยันตัวตนใน managed file transfer software และแจ้งเตือนให้ผู้ใช้งานอัปเดตเพื่อแก้ไขช่องโหว่โดยด่วน

นักวิจัยด้านความปลอดภัยของ Huntress ได้พบหลักฐานการโจมตี Cleo software ที่ติดตั้ง fully patch 5.8.0.21 เป็นครั้งแรกเมื่อวันที่ 3 ธันวาคม 2024 ตามมาด้วยการเพิ่มขึ้นอย่างเห็นได้ชัดของการโจมตีในวันอาทิตย์ที่ 8 ธันวาคม 2024 หลังจากที่ Hacker ค้นพบวิธี Bypass CVE-2024-50623 ได้อย่างรวดเร็ว (โดยยังไม่มี CVE-ID) ทำให้สามารถนำเข้า และดำเนินการคำสั่ง bash หรือ PowerShell ที่ต้องการได้โดยใช้ประโยชน์จากการตั้งค่า default Autorun folder

ทาง Huntress แนะนำให้ทำการย้ายระบบ Cleo ที่เชื่อมอินเทอร์เน็ตทั้งหมดไปไว้หลังไฟร์วอลล์จนกว่าจะมีการอัปเดตแพตช์ใหม่

โดยปัจจุบันช่องโหว่ Zero-Day ดังกล่าว กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Kevin Beaumont เชื่อมโยงการโจมตีเข้ากับกลุ่ม Ransomware ในชื่อ Termite ซึ่งเพิ่งอ้างสิทธิ์ในการโจมตีผู้ให้บริการ software as a service (SaaS) ชื่อ Blue Yonder

รวมถึง Shodan ได้ติดตาม Cleo servers ทั่วโลก 421 แห่ง ซึ่ง 327 แห่งอยู่ในสหรัฐอเมริกา Yutaka Sejiyama นักวิจัยด้านภัยคุกคามของ Macnica ยังพบ Cleo servers 743 แห่งที่สามารถเข้าถึงได้ทางออนไลน์ (379 แห่งใช้ Harmony, 124 แห่งใช้ VLTrader และ 240 แห่งใช้ LexiCom)

การออกอัปเดตสำหรับป้องกันการโจมตีจากมัลแวร์ Malichus

ปัจจุบัน Cleo ได้ออกอัปเดตเพื่อป้องกันการโจมตีที่เกิดขึ้น และแนะนำให้ลูกค้าทำการอัปเดตเป็นเวอร์ชัน 5.8.0.24 โดยเร็วที่สุด เพื่อป้องกัน Cleo servers ที่เปิดให้เข้าถึงได้จากอินเทอร์เน็ตจากการถูกโจมตี

Cleo แนะนำให้ลูกค้าทุกคนอัปเดต instances ของ Harmony, VLTrader และ LexiCom เป็นเวอร์ชันล่าสุด (เวอร์ชัน 5.8.0.24) ทันทีเพื่อแก้ไขช่องโหว่ หลังจากทำการอัปเดต ระบบจะบันทึกข้อผิดพลาด สำหรับไฟล์ใด ๆ ที่พบเมื่อเริ่มต้นใช้งานที่เกี่ยวข้องกับช่องโหว่ดังกล่าว และลบไฟล์เหล่านั้นออก

ทั้งนี้ Cleo แนะนำให้ผู้ที่ไม่สามารถอัปเดตได้ทันที ให้ทำการปิดการใช้งานคุณสมบัติ Autorun โดยไปที่ Options และเลือก Autorun directory ออก (วิธีนี้จะไม่ป้องกันการโจมตีขาเข้า แต่จะช่วยลด attack surface)

โดยล่าสุดพบว่า Hacker ใช้ประโยชน์จากแพตช์ที่ได้รับการอัปเดต ในการเรียกใช้เพย์โหลด Java Archive (JAR) ที่ถูกเข้ารหัส ซึ่งเป็นส่วนหนึ่งของ Java-based post-exploitation framework โดยที่ Rapid7 เป็นผู้ค้นพบขณะทำการสืบสวนการโจมตี

Huntress ยังได้วิเคราะห์มัลแวร์ในชื่อ Malichus โดยระบุว่ามัลแวร์นี้กำลังถูกนำไปใช้โจมตีเฉพาะบนอุปกรณ์ Windows เท่านั้น แม้ว่าจะรองรับ Linux ก็ตาม ตามรายงานของ Binary Defense ARC Labs ผู้โจมตีสามารถใช้ Malichus สำหรับการถ่ายโอนไฟล์ การเรียกใช้คำสั่ง และการสื่อสารบนเครือข่าย

จนถึงขณะนี้ Huntress ค้นพบบริษัทอย่างน้อย 10 แห่งที่ Cleo servers ถูกควบคุมภายหลังการโจมตีที่กำลังดำเนินอยู่นี้ และระบุว่ายังมีเหยื่อรายอื่น ๆ ที่อาจตกเป็นเหยื่อได้ รวมถึง Sophos ยังพบ IOCs บน Cleo hosts มากกว่า 50 แห่งอีกด้วย โดยส่วนใหญ่อยู่ในสหรัฐอเมริกา ที่เป็นองค์กรค้าปลีก

การโจมตีเหล่านี้คล้ายคลึงกับการโจมตีเพื่อขโมยข้อมูลของ Clop ที่กำหนดเป้าหมายการโจมตีไปยังช่องโหว่ zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA ในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : bleepingcomputer

พบช่องโหว่ Zero-day ใหม่ที่ทำให้ผู้ไม่หวังดีสามารถขโมยข้อมูล NTLM credentials ได้ โดยการหลอกให้เป้าหมายเปิดไฟล์อันตรายใน Windows Explorer

ช่องโหว่ดังกล่าวถูกพบโดยทีม 0patch ซึ่งเป็นแพลตฟอร์มที่ให้การสนับสนุนอย่างไม่เป็นทางการสำหรับ Windows เวอร์ชันที่สิ้นสุดการสนับสนุน และได้รายงานให้ Microsoft ทราบแล้ว อย่างไรก็ตาม ยังไม่มีการออกแพตช์อย่างเป็นทางการในขณะนี้

(more…)

Mandiant ได้ระบุเทคนิคใหม่ในการ bypass เทคโนโลยี Browser Isolation และสามารถดำเนินการคำสั่ง และควบคุม (C2) ผ่าน QR codes ได้

Browser Isolation เป็นเทคโนโลยีด้านความปลอดภัยที่ได้รับความนิยมมากขึ้นเรื่อย ๆ ซึ่งจะส่ง requests จาก local web browser ทั้งหมดไปยัง remote web browsers ที่โฮสต์บนคลาวด์ หรือ Virtual Machines (VM)

(more…)

วันนี้ (10 ธันวาคม 2024) Ivanti ออกมาแจ้งเตือนเกี่ยวกับช่องโหว่ใหม่ที่มีระดับความรุนแรงสูงสุดเกี่ยวกับการ authentication bypass ในโซลูชัน Cloud Services Appliance (CSA)

ช่องโหว่ด้านความปลอดภัย (CVE-2024-11639 และได้รับการรายงานโดยทีมวิจัยของ CrowdStrike) สามารถทำให้ผู้โจมตีจากภายนอกสามารถได้รับสิทธิ์ผู้ดูแลระบบในอุปกรณ์ที่มีช่องโหว่ที่ใช้ Ivanti CSA เวอร์ชัน 5.0.2 หรือเวอร์ชันก่อนหน้า โดยไม่ต้องผ่านการยืนยันตัวตน หรือการโต้ตอบจากผู้ใช้งาน ด้วยการหลีกเลี่ยงการยืนยันตัวตนด้วยช่องทาง หรือเส้นทางอื่น

(more…)

ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

UCS 6500 Series Fabric Interconnects (CSCwj35846)
MDS 9000 Series Multilayer Switches (CSCwh76163)
Nexus 3000 Series Switches (CSCwm47438)
Nexus 7000 Series Switches (CSCwh76166)
Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
UCS 6400 Series Fabric Interconnects (CSCwj35846)
Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่

บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397

โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

ที่มา : securityaffairs