KrustyLoader 

ผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ของ Ivanti VPN เพื่อติดตั้งมัลแวร์ KrustyLoader 

ช่องโหว่ Zero-day ที่เปิดเผยเมื่อเร็ว ๆ นี้ในอุปกรณ์เครือข่ายส่วนตัวเสมือน (VPN) ของ Ivanti Connect Secure (ICS) ได้ถูกนำไปใช้เพื่อส่งมอบเพย์โหลดแบบ Rust ที่เรียกว่า KrustyLoader ซึ่งใช้ในการวาง เครื่องมือจำลองแบบโอเพ่นซอร์ส โดยช่องโหว่ด้านความปลอดภัยนี้ถูกติดตามในรหัส CVE-2023-46805  (คะแนน CVSS: 8.2) และ CVE-2024-21887 (คะแนน CVSS: 9.1) อาจถูกนำไปใช้ในทางที่ผิดควบคู่กัน  เพื่อให้บรรลุการเรียกใช้โค้ดจากระยะไกลที่ไม่ได้รับอนุญาตบนอุปกรณ์ที่อ่อนแอ  ณ วันที่ 26 มกราคม แพตช์สำหรับช่องโหว่ทั้งสองนี้ถูกเลื่อนออกไป แม้ว่าบริษัทซอฟต์แวร์จะเผยแพร่ การบรรเทาปัญหาชั่วคราวผ่านไฟล์ XML ก็ตาม Volexity ซึ่งเผยให้เห็นช่องโหว่เป็นครั้งแรก กล่าวว่าช่องโหว่เหล่านี้ถูกทำให้เป็น Zero-day ตั้งแต่วันที่ 3 ธันวาคม พ.ศ. 2566 โดยผู้ไม่ประสงค์ดีระดับรัฐชาติของจีน ที่ติดตามภายใต้ชื่อ UTA0178 Mandiant ที่…
Read More
Mirai botnet variants

การค้นพบใหม่ที่ระบุแหล่งที่มาในการโจมตีทางไซเบอร์ในภาคพลังงานของเดนมาร์ก 

การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่ภาคพลังงานในเดนมาร์กเมื่อปีที่แล้วอาจไม่เกี่ยวข้องกับกลุ่มแฮ็ก Sandworm ที่เชื่อมโยงกับรัสเซีย ซึ่งเป็นข้อค้นพบใหม่จากการแสดง Forescout  การโจมตีซึ่งกำหนดเป้าหมายไปที่องค์กรพลังงานของเดนมาร์ก 22 แห่งในเดือนพฤษภาคม 2566 เกิดขึ้นในสองระลอกที่แตกต่างกัน โดยระลอกแรกใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในไฟร์วอลล์ของ Zyxel (CVE-2023-28771) และเหตุการณ์ที่เกี่ยวข้องซึ่งเห็นว่าผู้ไม่ประสงค์ดีปรับใช้ Mirai botnet variants บนโฮสต์ ที่ติดไวรัสผ่านทางเวกเตอร์การเข้าถึงเริ่มต้นที่ยังไม่เป็นที่รู้จัก  ครั้งแรกเกิดขึ้นในวันที่ 11 พฤษภาคม ในขณะที่ครั้งที่สองเกิดขึ้นตั้งแต่วันที่ 22 ถึง 31 พฤษภาคม 2566 ในการโจมตีหนึ่งที่ตรวจพบเมื่อวันที่ 24 พฤษภาคม พบว่าระบบที่ถูกขโมยข้อมูลนั้นกำลังติดต่อกับที่อยู่ IP (217.57.80[.]18 และ 70.62.153[.]174) ซึ่งก่อนหน้านี้เคยถูกใช้เป็น Command-and-Control (C2) สำหรับ Cyclops Blink botnet ที่ถูกปิดแล้ว  การตรวจสอบอย่างละเอียดของการโจมตีนี้โดย Forescout ได้เปิดเผยว่าไม่เพียงแต่ทั้งสองครั้ง ของการโจมตีไม่เกี่ยวข้องกัน แต่ยังมีความเป็นไปได้ว่าไม่ได้เป็นผลงานของกลุ่มที่ได้รับการสนับสนุนจากภาครัฐ เนื่องจากครั้งที่สองเป็นส่วนหนึ่งของการโจมตีที่เน้นในการโจมตีไฟร์วอล Zyxel ที่ยังไม่ได้รับการแก้ไข…
Read More
Juniper SRX Firewalls

พบช่องโหว่ RCE ใน Juniper SRX Firewalls และ EX Switches 

Juniper Networks ได้ปล่อยตัวอัปเดตเพื่อแก้ไขช่องโหว่ Critical Remote Code Execution (RCE)  ในไฟร์วอลล์ SRX Series และสวิตช์ EX Series ปัญหานี้ถูกติดตามโดยใช้รหัส CVE-2024-21591 และได้รับคะแนน 9.8 ตามระบบคะแนน CVSS  ช่องโหว่การเขียนอยู่นอกขอบเขตใน J-Web ของ Juniper Networks Junos OS SRX Series  และ EX Series ช่วยให้ผู้ไม่ประสงค์ดีโจมตีบนเครือข่ายที่ไม่ได้รับการรับรองความถูกต้องสามารถทำให้เกิดการปฏิเสธการให้บริการ (DoS) หรือ Remote Code Execution (RCE) และ รับสิทธิ์ Root บนอุปกรณ์  บริษัทผู้ผลิตอุปกรณ์เครือข่ายที่กำลังจะถูกซื้อโดย Hewlett Packard Enterprise (HPE)  ในราคา 14,000…
Read More
GitHub Actions, GitHub Codespaces

GitHub สับเปลี่ยนคีย์หลังจากช่องโหว่ที่มีความรุนแรงสูงเปิดเผยข้อมูลประจำตัว 

GitHub เผยว่าได้ทำการสับเปลี่ยนคีย์บางตัว เพื่อตอบสนองต่อช่องโหว่ด้านความปลอดภัยที่อาจถูกนำไปใช้ประโยชน์ เพื่อเข้าถึงข้อมูลประจำตัว โดยบริษัทในเครือของ Microsoft กล่าวว่าได้รับทราบปัญหาแล้วเมื่อวันที่ 26 ธันวาคม 2023 และได้แก้ไขปัญหาดังกล่าวในวันเดียวกัน นอกเหนือจากการหมุนเวียนข้อมูลรับรองที่อาจถูกเปิดเผยทั้งหมดโดยใช้ความระมัดระวังอย่างยิ่ง โดยคีย์ที่สับเปลี่ยนจะประกอบด้วยคีย์การลงนาม GitHub เช่นเดียวกับ GitHub Actions, GitHub Codespaces และคีย์การเข้ารหัสลูกค้า Dependabot  ไม่มีหลักฐานว่าช่องโหว่ที่มีความรุนแรงสูงที่ติดตามในชื่อ CVE-2024-0200 (คะแนน CVSS: 7.2) ได้ถูกค้นพบ และนำไปใช้ประโยชน์แล้วก่อนหน้านี้ อย่างไรก็ตาม การแสวงหาประโยชน์จำเป็นต้องมีผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ ซึ่งมีบทบาทเป็นเจ้าขององค์กร เพื่อเข้าสู่ระบบบัญชีบนอินสแตนซ์ GHES ซึ่งเป็นชุดสำคัญในการบรรเทาสถานการณ์ที่นำไปสู่การแสวงหาประโยชน์ที่อาจเกิดขึ้น  ในคำแนะนำที่แยกออกมา GitHub ระบุลักษณะช่องโหว่ว่าเป็นกรณีของ GHES การสะท้อนที่ไม่ปลอดภัย ซึ่งอาจนำไปสู่การแทรกการสะท้อน และการเรียกใช้โค้ดจากระยะไกล ได้รับการแก้ไขแล้วใน GHES เวอร์ชัน 3.8.13, 3.9.8, 3.10.5 และ 3.11.3 นอกจากนี้…
Read More
SonicWall

ไฟร์วอลล์ SonicWall มากกว่า 178,000 ตัวที่อาจเสี่ยงต่อการโจมตี 

ไฟร์วอลล์ SonicWall กว่า 178,000 รายการที่เปิดเผยผ่านทางอินเทอร์เน็ตสามารถใช้ประโยชน์จาก ช่องโหว่อย่างน้อยหนึ่งในสองตัว ที่อาจถูกนำไปใช้เพื่อทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) และ การเรียกใช้โค้ดจากระยะไกล (RCE) โดยช่องโหว่ที่เป็นปัญหามีการระบุไว้ ดังนี้  CVE-2022-22274 (คะแนน CVSS: 9.4) – ช่องโหว่บัฟเฟอร์ล้นแบบสแต็กใน SonicOS ผ่านการร้องขอ HTTP ช่วยให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้อง สามารถก่อให้เกิด DoS หรืออาจส่งผลให้เกิดการเรียกใช้โค้ดในไฟร์วอลล์  CVE-2023-0656 (คะแนน CVSS: 7.5) – ช่องโหว่บัฟเฟอร์ล้นแบบสแต็กใน SonicOS ช่วยให้ ผู้ไม่ประสงค์ดีที่ไม่ได้รับการรับรองความถูกต้อง สามารถก่อให้เกิด DoS ซึ่งอาจส่งผลให้เกิดความผิดพลาดได้  แม้ว่าจะไม่มีรายงานการใช้ประโยชน์จากช่องโหว่ดังกล่าว แต่ Proof-of-Concept (PoC) สำหรับ  CVE-2023-0656 ได้รับการเผยแพร่โดยทีม SSD Secure Disclosure ในเดือนเมษายน 2023  บริษัทรักษาความปลอดภัยทางไซเบอร์เปิดเผยว่าปัญหาดังกล่าวอาจถูกกระทำโดยผู้ไม่ประสงค์ดี เพื่อกระตุ้นให้เกิดปัญหาซ้ำๆ และบังคับให้อุปกรณ์เข้าสู่โหมดการบำรุงรักษา…
Read More
X Ads Cryptocurrency Scams

ผู้ไม่ประสงค์ดีใช้ Ads บนแพลตฟอร์ม X เพื่อเผยแพร่เว็บไซต์ที่นำไปสู่ Crypto Drainers, Fake Airdrops, และโปรแกรมล่อลวงอื่น ๆ 

Elon เคยทวีตว่า YouTube เป็นเหมือนแหล่งเผยแพร่ Ads โฆษณาที่หลอกลวง แต่ทางแพลตฟอร์ม X         ดูเหมือนจะมีปัญหาของตัวเองเช่นกัน โดยแสดง Ads โฆษณาที่ส่งเสริม Cryptocurrency Scams มากขึ้นเรื่อยๆ  การล่อลวงนี้ยังมีการเผยแพร่ผ่าน Link ทางแพลตฟอร์ม Talagram ที่ส่งเสริมการใช้เทคนิคแบบ      Pump and Dumps, Phishing Pages และลิงก์ไปยังไซต์ที่โฮสต์ Crypto Drainers ซึ่งเป็นสคริปต์ที่ทำลายทรัพย์สินทั้งหมดในกระเป๋าสตางค์ดิจิทัล เนื่องจากแพลตฟอร์ม X แสดงโฆษณาตามความสนใจของผู้ใช้               ผู้ที่ไม่เกี่ยวข้องกับสกุลเงินดิจิตอลอาจไม่เห็นโฆษณาเหล่านี้ อย่างไรก็ตาม บรรดาผู้ที่เข้าพื้นที่บ่อยๆ จะถูกโจมตีด้วยสิ่งที่ดูเหมือนจะเป็นโฆษณาที่เป็นอันตรายมากมายไม่รู้จบ  เดือนที่แล้ว, ScamSniffer รายงานว่า “Cryptocurrency Drainer ที่ชื่อ ‘MS Drainer’ ที่ถูกส่งเสริมใน Google Search และโฆษณาบนแพลตฟอร์ม X ได้ขโมย…
Read More