Amazon Threat Intelligence เปิดเผยการโจมตีขั้นสูงที่ใช้ช่องโหว่ Zero-Day พร้อมกันสองตัว
ทีม Amazon Threat Intelligence ตรวจพบการโจมตีผ่านเครือข่าย MadPot Honeypot ซึ่งแสดงให้เห็นว่ามีการใช้ช่องโหว่ Citrix Bleed Two ก่อนที่จะมีการประกาศ CVE อย่างเป็นทางการ นั่นหมายความว่าผู้โจมตีมี exploit ที่พร้อมใช้งาน ตั้งแต่ก่อนเปิดเผยสาธารณะ และในระหว่างการวิเคราะห์ยังพบช่องโหว่ใหม่ใน Cisco ISE ที่เปิดทางให้เกิด Remote Code Execution (RCE) โดยไม่ต้องยืนยันตัวตน
เทคนิคการโจมตีที่ซับซ้อน
หลังจากเจาะระบบได้ ผู้โจมตีติดตั้ง Web Shell แบบ custom ที่ชื่อว่า IdentityAuditAction ซึ่งทำงานแบบ in-memory เพื่อหลบเลี่ยงการตรวจจับ ไม่ทิ้งไฟล์บนดิสก์ ใช้ Java Reflection เพื่อแทรกตัวเองใน thread ของ Tomcat และเข้ารหัส payload ด้วย DES + Base64 แบบ custom ทำให้การตรวจจับยากขึ้นอย่างมาก ลักษณะนี้บ่งชี้ว่าเป็นกลุ่มที่มีทรัพยากรสูงหรืออาจเกี่ยวข้องกับรัฐ
ผลกระทบต่อองค์กร
การโจมตีนี้ไม่ได้จำกัดเป้าหมายเฉพาะองค์กรใด แต่มีการ mass scanning ทั่วอินเทอร์เน็ตเพื่อหาช่องโหว่ในระบบ Citrix และ Cisco ISE ที่ยังไม่ได้แพตช์ หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีสามารถควบคุมระบบยืนยันตัวตนและการเข้าถึงเครือข่าย ซึ่งถือเป็นหัวใจสำคัญของโครงสร้างพื้นฐานองค์กร
แนวทางป้องกัน
Cisco และ Citrix ได้ออกแพตช์แก้ไขแล้ว โดยองค์กรควรรีบอัปเดตทันที พร้อมตรวจสอบระบบที่เกี่ยวข้องกับ Identity Services Engine และ NetScaler Gateway รวมถึงติดตั้งระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก เพื่อป้องกันการโจมตีที่ใช้เทคนิคขั้นสูงเช่นนี้
สรุปประเด็นสำคัญ
การค้นพบการโจมตี Zero-Day
Citrix Bleed Two (CVE-2025-5777) ถูกใช้ก่อนการเปิดเผย
Cisco ISE RCE (CVE-2025-20337) เปิดทางให้รีโมตเข้าถึงโดยไม่ต้องยืนยันตัวตน
เทคนิคการโจมตี
ใช้ Web Shell แบบ custom (IdentityAuditAction) ทำงานในหน่วยความจำ
Payload เข้ารหัสด้วย DES + Base64 แบบ custom
ผลกระทบต่อองค์กร
ระบบยืนยันตัวตนและการเข้าถึงเครือข่ายเสี่ยงถูกควบคุม
มีการ mass scanning หาช่องโหว่ทั่วอินเทอร์เน็ต
แนวทางแก้ไข
รีบอัปเดตแพตช์จาก Cisco และ Citrix
ใช้ระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก
คำเตือนสำหรับองค์กร
หากไม่อัปเดต อาจถูกโจมตีจนระบบยืนยันตัวตนถูกยึดครอง
การโจมตีขั้นสูงนี้บ่งชี้ถึงกลุ่มที่มีทรัพยากรสูง อาจเกี่ยวข้องกับรัฐ
https://securityonline.info/amazon-exposes-advanced-apt-exploiting-cisco-ise-rce-and-citrix-bleed-two-as-simultaneous-zero-days/
ทีม Amazon Threat Intelligence ตรวจพบการโจมตีผ่านเครือข่าย MadPot Honeypot ซึ่งแสดงให้เห็นว่ามีการใช้ช่องโหว่ Citrix Bleed Two ก่อนที่จะมีการประกาศ CVE อย่างเป็นทางการ นั่นหมายความว่าผู้โจมตีมี exploit ที่พร้อมใช้งาน ตั้งแต่ก่อนเปิดเผยสาธารณะ และในระหว่างการวิเคราะห์ยังพบช่องโหว่ใหม่ใน Cisco ISE ที่เปิดทางให้เกิด Remote Code Execution (RCE) โดยไม่ต้องยืนยันตัวตน
เทคนิคการโจมตีที่ซับซ้อน
หลังจากเจาะระบบได้ ผู้โจมตีติดตั้ง Web Shell แบบ custom ที่ชื่อว่า IdentityAuditAction ซึ่งทำงานแบบ in-memory เพื่อหลบเลี่ยงการตรวจจับ ไม่ทิ้งไฟล์บนดิสก์ ใช้ Java Reflection เพื่อแทรกตัวเองใน thread ของ Tomcat และเข้ารหัส payload ด้วย DES + Base64 แบบ custom ทำให้การตรวจจับยากขึ้นอย่างมาก ลักษณะนี้บ่งชี้ว่าเป็นกลุ่มที่มีทรัพยากรสูงหรืออาจเกี่ยวข้องกับรัฐ
ผลกระทบต่อองค์กร
การโจมตีนี้ไม่ได้จำกัดเป้าหมายเฉพาะองค์กรใด แต่มีการ mass scanning ทั่วอินเทอร์เน็ตเพื่อหาช่องโหว่ในระบบ Citrix และ Cisco ISE ที่ยังไม่ได้แพตช์ หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีสามารถควบคุมระบบยืนยันตัวตนและการเข้าถึงเครือข่าย ซึ่งถือเป็นหัวใจสำคัญของโครงสร้างพื้นฐานองค์กร
แนวทางป้องกัน
Cisco และ Citrix ได้ออกแพตช์แก้ไขแล้ว โดยองค์กรควรรีบอัปเดตทันที พร้อมตรวจสอบระบบที่เกี่ยวข้องกับ Identity Services Engine และ NetScaler Gateway รวมถึงติดตั้งระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก เพื่อป้องกันการโจมตีที่ใช้เทคนิคขั้นสูงเช่นนี้
สรุปประเด็นสำคัญ
การค้นพบการโจมตี Zero-Day
Citrix Bleed Two (CVE-2025-5777) ถูกใช้ก่อนการเปิดเผย
Cisco ISE RCE (CVE-2025-20337) เปิดทางให้รีโมตเข้าถึงโดยไม่ต้องยืนยันตัวตน
เทคนิคการโจมตี
ใช้ Web Shell แบบ custom (IdentityAuditAction) ทำงานในหน่วยความจำ
Payload เข้ารหัสด้วย DES + Base64 แบบ custom
ผลกระทบต่อองค์กร
ระบบยืนยันตัวตนและการเข้าถึงเครือข่ายเสี่ยงถูกควบคุม
มีการ mass scanning หาช่องโหว่ทั่วอินเทอร์เน็ต
แนวทางแก้ไข
รีบอัปเดตแพตช์จาก Cisco และ Citrix
ใช้ระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก
คำเตือนสำหรับองค์กร
หากไม่อัปเดต อาจถูกโจมตีจนระบบยืนยันตัวตนถูกยึดครอง
การโจมตีขั้นสูงนี้บ่งชี้ถึงกลุ่มที่มีทรัพยากรสูง อาจเกี่ยวข้องกับรัฐ
https://securityonline.info/amazon-exposes-advanced-apt-exploiting-cisco-ise-rce-and-citrix-bleed-two-as-simultaneous-zero-days/
🕵️♀️ Amazon Threat Intelligence เปิดเผยการโจมตีขั้นสูงที่ใช้ช่องโหว่ Zero-Day พร้อมกันสองตัว
ทีม Amazon Threat Intelligence ตรวจพบการโจมตีผ่านเครือข่าย MadPot Honeypot ซึ่งแสดงให้เห็นว่ามีการใช้ช่องโหว่ Citrix Bleed Two ก่อนที่จะมีการประกาศ CVE อย่างเป็นทางการ นั่นหมายความว่าผู้โจมตีมี exploit ที่พร้อมใช้งาน ตั้งแต่ก่อนเปิดเผยสาธารณะ และในระหว่างการวิเคราะห์ยังพบช่องโหว่ใหม่ใน Cisco ISE ที่เปิดทางให้เกิด Remote Code Execution (RCE) โดยไม่ต้องยืนยันตัวตน
⚡ เทคนิคการโจมตีที่ซับซ้อน
หลังจากเจาะระบบได้ ผู้โจมตีติดตั้ง Web Shell แบบ custom ที่ชื่อว่า IdentityAuditAction ซึ่งทำงานแบบ in-memory เพื่อหลบเลี่ยงการตรวจจับ ไม่ทิ้งไฟล์บนดิสก์ ใช้ Java Reflection เพื่อแทรกตัวเองใน thread ของ Tomcat และเข้ารหัส payload ด้วย DES + Base64 แบบ custom ทำให้การตรวจจับยากขึ้นอย่างมาก ลักษณะนี้บ่งชี้ว่าเป็นกลุ่มที่มีทรัพยากรสูงหรืออาจเกี่ยวข้องกับรัฐ
🌐 ผลกระทบต่อองค์กร
การโจมตีนี้ไม่ได้จำกัดเป้าหมายเฉพาะองค์กรใด แต่มีการ mass scanning ทั่วอินเทอร์เน็ตเพื่อหาช่องโหว่ในระบบ Citrix และ Cisco ISE ที่ยังไม่ได้แพตช์ หากถูกโจมตีสำเร็จ ผู้ไม่หวังดีสามารถควบคุมระบบยืนยันตัวตนและการเข้าถึงเครือข่าย ซึ่งถือเป็นหัวใจสำคัญของโครงสร้างพื้นฐานองค์กร
🛠️ แนวทางป้องกัน
Cisco และ Citrix ได้ออกแพตช์แก้ไขแล้ว โดยองค์กรควรรีบอัปเดตทันที พร้อมตรวจสอบระบบที่เกี่ยวข้องกับ Identity Services Engine และ NetScaler Gateway รวมถึงติดตั้งระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก เพื่อป้องกันการโจมตีที่ใช้เทคนิคขั้นสูงเช่นนี้
📌 สรุปประเด็นสำคัญ
✅ การค้นพบการโจมตี Zero-Day
➡️ Citrix Bleed Two (CVE-2025-5777) ถูกใช้ก่อนการเปิดเผย
➡️ Cisco ISE RCE (CVE-2025-20337) เปิดทางให้รีโมตเข้าถึงโดยไม่ต้องยืนยันตัวตน
✅ เทคนิคการโจมตี
➡️ ใช้ Web Shell แบบ custom (IdentityAuditAction) ทำงานในหน่วยความจำ
➡️ Payload เข้ารหัสด้วย DES + Base64 แบบ custom
✅ ผลกระทบต่อองค์กร
➡️ ระบบยืนยันตัวตนและการเข้าถึงเครือข่ายเสี่ยงถูกควบคุม
➡️ มีการ mass scanning หาช่องโหว่ทั่วอินเทอร์เน็ต
✅ แนวทางแก้ไข
➡️ รีบอัปเดตแพตช์จาก Cisco และ Citrix
➡️ ใช้ระบบตรวจจับพฤติกรรมผิดปกติในทราฟฟิก
‼️ คำเตือนสำหรับองค์กร
⛔ หากไม่อัปเดต อาจถูกโจมตีจนระบบยืนยันตัวตนถูกยึดครอง
⛔ การโจมตีขั้นสูงนี้บ่งชี้ถึงกลุ่มที่มีทรัพยากรสูง อาจเกี่ยวข้องกับรัฐ
https://securityonline.info/amazon-exposes-advanced-apt-exploiting-cisco-ise-rce-and-citrix-bleed-two-as-simultaneous-zero-days/
0 Comments
0 Shares
18 Views
0 Reviews
Thai