Day: August 30, 2023

Leaseweb หนึ่งในผู้ให้บริการคลาวด์และโฮสติ้งที่ใหญ่ที่สุดในโลก ได้แจ้งให้ผู้ใช้ทราบว่ากำลังดำเนินการกู้คืนระบบที่ถูกปิดใช้งานหลังจากมีการละเมิดความปลอดภัย ซึ่งในอีเมลที่ส่งถึงลูกค้าเมื่อวันพฤหัสบดี ผู้ให้บริการคลาวด์กล่าวว่าได้ค้นพบสัญญาณของความผิดปกติในบางส่วนของโครงสร้างพื้นฐาน ขณะที่กำลังมีการตรวจสอบปัญหาการหยุดทำงานของพอร์ทัลลูกค้า  Leaseweb ทำการลบระบบที่ได้รับผลกระทบบางส่วนออก เพื่อลดความเสี่ยงด้านความปลอดภัย และกล่าวว่าขณะนี้ทีมงานกำลังทำงานเพื่อกู้คืนระบบที่ได้รับผลกระทบจากเหตุการณ์นี้ หลังจากเหตุการณ์นี้ Leaseweb ได้ว่าจ้างบริการรักษาความปลอดภัยทางไซเบอร์ Digital Forensics and Incident Response (DFIR) เพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัยและควบคุมการโจมตี “เพื่อให้แน่ใจว่าบริการของ Leaseweb ปลอดภัยและเชื่อถือได้ จึงได้จัดทำแผนการป้องกันที่แข็งแกร่งและร่วมมืออย่างใกล้ชิดกับบริษัทรักษาความปลอดภัยทางไซเบอร์ที่น่าเชื่อถือ” Leaseweb กล่าวเสริม  Ref: https://www.bleepingcomputer.com/news/security/leaseweb-is-restoring-critical-systems-after-security-breach/ 

รหัสช่องโหว่ Proof-of-concept ได้รับการเผยแพร่ต่อสาธารณะสําหรับช่องโหว่ในไฟร์วอลล์ Juniper SRX ซึ่งเมื่อเชื่อมต่อแล้ว จะสามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถดำเนินการเรียกใช้โค้ดจากระยะไกลใน JunOS ของ Juniper บนอุปกรณ์ที่ไม่ได้แพตช์ได้ Juniper ได้เปิดเผย ช่องโหว่ที่ความรุนแรงปานกลางสี่ตัวในสวิตช์ EX และไฟร์วอลล์ SRX และเปิดตัวแพตช์ความปลอดภัย ด้วยคําขอเฉพาะที่ไม่ต้องการการตรวจสอบสิทธิ์ ผู้ไม่ประสงค์ดีจึงสามารถอัปโหลดไฟล์ได้โดยไม่ต้องได้รับอนุญาตผ่าน  J-Web โดยจะส่งผลกระทบต่อความสมบูรณ์ของระบบไฟล์ ซึ่งอาจอนุญาตให้มีการเชื่อมต่อกับช่องโหว่อื่นๆ และทำการรันโค้ดบนอุปกรณ์จากระยะไกลได้   ผู้ดูแลระบบจะได้รับการกระตุ้นให้ใช้แพตช์ของ Juniper หรืออัปเกรด JunOS เป็นรุ่นล่าสุด หรือ อย่างน้อยควรใช้มาตรการบรรเทาผลกระทบที่แนะนําโดยผู้ขายโดยเร็วที่สุด โดยผู้ใช้งานอุปกรณ์ที่ได้รับผลกระทบจะถูกกระตุ้นให้อัปเดตเป็นเวอร์ชันที่แพตช์แล้วโดยเร็วที่สุด และ/หรือ ปิดใช้งานการเข้าถึงอินเทอร์เฟซ J-Web หากเป็นไปได้  ในเดือนมิถุนายน CISA ได้ออกคําสั่งปฏิบัติการที่มีผลผูกพัน (BOD) ฉบับแรกของปี โดยสั่งให้หน่วยงานของรัฐบาลกลางสหรัฐฯ รักษาความปลอดภัยของอุปกรณ์เครือข่ายที่มีการเปิดเผยทางอินเทอร์เน็ต หรือ กําหนดค่าผิดพลาด เช่น ไฟร์วอลล์ของ Juniper และอุปกรณ์สวิตช์ภายในสองสัปดาห์หลังจากการค้นพบ  Ref: https://www.bleepingcomputer.com/news/security/exploit-released-for-juniper-firewall-bugs-allowing-rce-attacks/ 

มัลแวร์ DreamBus botnet เวอร์ชันใหม่ใช้ประโยชน์จากช่องโหว่ Remote Code Execution  ในเซิร์ฟเวอร์ RocketMQ เพื่อแพร่ไวรัสไปยังอุปกรณ์  CVE-2023-33246 เป็นช่องโหว่การตรวจสอบสิทธิ์ที่ส่งผลกระทบต่อ RocketMQ เวอร์ชัน 5.1.0 และ เก่ากว่าทำให้ผู้ไม่ประสงค์ดีสามารถ Remote Command Execution ได้  Juniper Threat Labs กล่าวว่า พบการโจมตี DreamBus ครั้งแรกที่ใช้ประโยชน์จากช่องโหว่  CVE-2023-33246 ในต้นเดือนมิถุนายน 2023 โดยกำหนดเป้าหมายไปที่พอร์ตเริ่มต้น 10911 ของ RocketMQ และพอร์ตอื่นๆ อีก 7 พอร์ต  ผู้ไม่ประสงค์ดีใช้เครื่องมือ ‘interactsh’ open-source เพื่อระบุเวอร์ชันซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์และทำการหาช่องโหว่ที่อาจใช้ประโยชน์ได้  นักวิจัยยังพบผู้ไม่ประสงค์ดีดาวน์โหลด Bash Script ชื่อ ‘reketed’ จาก Tor Proxy…