ข่าวนี้กล่าวถึงการโจมตีที่ใช้ช่องโหว่ Server-Side Request Forgery (SSRF) เพื่อขโมยข้อมูล EC2 Instance Metadata บนเซิร์ฟเวอร์ AWS โดยมีการแนะนำวิธีป้องกันและการแก้ไขปัญหา ✅ ลักษณะของการโจมตี: - ผู้โจมตีใช้ช่องโหว่ SSRF ในเว็บไซต์ที่โฮสต์บน EC2 เพื่อเข้าถึงข้อมูล EC2 Metadata เช่น IP Address, Instance ID และ Security Credentials. - การโจมตีนี้เกิดขึ้นในช่วงเดือนมีนาคม 2025 โดยใช้ช่องโหว่ใน Instance Metadata Service (IMDSv1) ซึ่งเป็นเวอร์ชันเก่าที่ไม่มีการป้องกันด้วย Session Token. ✅ การแก้ไขปัญหา: - F5 Labs แนะนำให้ผู้ใช้งานย้ายไปใช้ IMDSv2 ซึ่งต้องการ Session Token และมีการป้องกันที่ดีกว่า. - การตั้งค่า Web Application Firewall (WAF) เพื่อบล็อก IP ที่น่าสงสัย เช่น IP ที่มี "169.254.169.254" ซึ่งเป็น Internal IP ของ AWS. ✅ การดำเนินการของผู้โจมตี: - ผู้โจมตีเริ่มต้นการโจมตีจาก IP ใน ASN:34534 ซึ่งเป็นของบริษัท FBW NETWORKS SAS ในฝรั่งเศสและโรมาเนีย https://www.csoonline.com/article/3959148/hackers-attempted-to-steal-aws-credentials-using-ssrf-flaws-within-hosted-sites.html

ภัยคุกคามไซเบอร์พุ่งเป้าอุปกรณ์ Juniper, Cisco และ Palo Alto Networks—เตือนผู้ดูแลระบบเร่งแก้ไขช่องโหว่ 🔒🌐 นักวิจัยพบว่ามีการโจมตีอุปกรณ์เครือข่ายจาก Juniper, Cisco และ Palo Alto Networks โดยใช้ช่องโหว่จากรหัสผ่านเริ่มต้นและการไม่อัปเดตแพตช์ แฮกเกอร์พยายามเข้าถึงระบบเพื่อโจมตีหรือใช้เป็นฐานขุดคริปโต องค์กรควร เปลี่ยนรหัสผ่านเริ่มต้น, อัปเดตแพตช์ และเสริมความปลอดภัยด้วย Firewall เพื่อป้องกันภัยคุกคามที่เพิ่มขึ้น ✅ Juniper Networks ถูกโจมตีด้วยการใช้รหัสผ่านเริ่มต้น - แฮกเกอร์ใช้รหัสผ่านเริ่มต้น “t128” และ “128tRoutes” เพื่อพยายามเข้าถึงอุปกรณ์ Session Smart Routing (SSR) - นักวิจัยชี้ว่า ผู้ดูแลระบบควรเปลี่ยนรหัสผ่านทันที เพื่อป้องกันการโจมตี ✅ ช่องโหว่ใน Cisco Smart Licensing Utility (SLU) - Cisco เปิดเผยช่องโหว่ใน SLU ตั้งแต่เดือนกันยายน 2024 และออกแพตช์แก้ไข - อย่างไรก็ตาม ยังมีอุปกรณ์ที่ไม่ได้อัปเดต ทำให้แฮกเกอร์พยายามโจมตีผ่านช่องโหว่นี้ ✅ การสแกนระบบของ Palo Alto Networks เพิ่มขึ้นอย่างมาก - นักวิจัยจาก GreyNoise พบว่ามีการสแกนระบบ GlobalProtect portals ของ Palo Alto Networks จาก IP addresses กว่า 24,000 แห่ง - การโจมตีส่วนใหญ่มาจาก สหรัฐฯ และแคนาดา โดยมีเป้าหมายเพื่อค้นหาช่องโหว่ใหม่ ✅ คำแนะนำสำหรับองค์กร - เปลี่ยนรหัสผ่านเริ่มต้น และตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ - อัปเดตแพตช์ล่าสุด เพื่อปิดช่องโหว่ที่อาจถูกใช้ในการโจมตี - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อป้องกันการโจมตีในอนาคต https://www.csoonline.com/article/3953828/surge-in-threat-actors-scanning-juniper-cisco-and-palo-alto-networks-devices.html

นักวิจัยด้านความปลอดภัยพบว่ามีแฮกเกอร์ที่ใช้ช่องโหว่ของเซิร์ฟเวอร์ PostgreSQL ในการขุด Monero มากกว่า 1,500 เซิร์ฟเวอร์ พวกเขาใช้ XMRig-C3 ซึ่งเป็น Cryptominer ที่ยากต่อการตรวจสอบ ขณะที่ 90% ของระบบคลาวด์ใช้ PostgreSQL แบบ Self-hosted และหนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงจากอินเทอร์เน็ต องค์กรควรตรวจสอบการตั้งค่าความปลอดภัย และหลีกเลี่ยงรหัสผ่านที่อ่อนแอเพื่อป้องกันการโจมตี ✅ XMRig-C3—Cryptominer ที่ขุด Monero และหลีกเลี่ยงการตรวจสอบ - Monero เป็นคริปโตที่ ยากต่อการติดตามมากกว่า Bitcoin ทำให้ได้รับความนิยมในกลุ่มอาชญากรไซเบอร์ - การใช้ XMRig-C3 ทำให้เซิร์ฟเวอร์ ทำงานหนักขึ้น และมีค่าไฟฟ้าที่พุ่งสูงขึ้น ✅ กลุ่ม JINX-0126 พัฒนาเทคนิคใหม่เพื่อหลีกเลี่ยงการตรวจจับ - แฮกเกอร์ใช้ การติดตั้ง Cryptominer แบบไม่มีไฟล์ (Fileless Deployment) เพื่อให้การตรวจสอบหาซอฟต์แวร์แปลกปลอมทำได้ยากขึ้น - พวกเขายังตั้งค่าให้แต่ละเซิร์ฟเวอร์ มี Worker ID แยกต่างหาก เพื่อให้วิเคราะห์จำนวนเซิร์ฟเวอร์ที่ติดมัลแวร์ได้ยากขึ้น ✅ เซิร์ฟเวอร์ PostgreSQL มีช่องโหว่มากกว่าที่คาด - Wiz พบว่า เกือบ 90% ของระบบคลาวด์มีการตั้งค่า PostgreSQL ในรูปแบบ Self-hosted - หนึ่งในสามของเซิร์ฟเวอร์เหล่านี้เปิดให้เข้าถึงได้จากอินเทอร์เน็ต ✅ สิ่งที่องค์กรควรทำเพื่อป้องกันการโจมตี - ตรวจสอบการตั้งค่าความปลอดภัยของ PostgreSQL และหลีกเลี่ยงการใช้ รหัสผ่านที่เดาง่าย - ใช้ Firewall และระบบตรวจจับภัยคุกคาม เพื่อลดความเสี่ยง https://www.techradar.com/pro/security/thousands-of-postgresql-servers-are-being-hijacked-to-mine-crypto

ข่าวนี้พูดถึงช่องโหว่ความปลอดภัยใน ระบบพลังงานแสงอาทิตย์ ซึ่งอาจทำให้ นักโจมตีทางไซเบอร์ สามารถควบคุมการผลิตพลังงาน แทรกแซงข้อมูลส่วนตัว หรือแม้กระทั่งขัดขวางการทำงานของโครงข่ายพลังงาน ผู้เชี่ยวชาญจาก Forescout – Vedere Labs ระบุช่องโหว่ใหม่ถึง 46 รายการในอุปกรณ์อินเวอร์เตอร์จากผู้ผลิตรายใหญ่อย่าง Sungrow, Growatt และ SMA โดย 80% ของช่องโหว่ที่รายงานถือเป็นปัญหาร้ายแรงหรือสำคัญ ความเสี่ยงที่เกิดขึ้นจากการเชื่อมต่อออนไลน์: - หลายอินเวอร์เตอร์ในระบบพลังงานแสงอาทิตย์มีการเชื่อมต่ออินเทอร์เน็ตโดยตรง ทำให้ง่ายต่อการโจมตีผ่านการใช้เฟิร์มแวร์ที่ล้าสมัยหรือการเข้ารหัสข้อมูลที่อ่อนแอ ผลกระทบที่เกิดขึ้น: - การโจมตีสามารถทำให้เกิดความไม่สมดุลในโครงข่ายพลังงาน การขโมยข้อมูลที่ละเมิดข้อกำหนดด้าน GDPR รวมถึงการควบคุมอุปกรณ์ภายในบ้านอัจฉริยะ เช่น เครื่องชาร์จรถยนต์ไฟฟ้า คำแนะนำในการป้องกัน: - ผู้ผลิตควรเร่งแก้ไขปัญหาด้วยการอัปเดตระบบ ปรับปรุงโค้ดให้ปลอดภัย และทดสอบเจาะระบบอย่างสม่ำเสมอ นอกจากนี้ ควรมีการใช้ Web Application Firewall และมาตรการความปลอดภัยมาตรฐาน เช่น NIST IR 8259 บทบาทของเจ้าของระบบพลังงานแสงอาทิตย์: - การแยกเครือข่ายของอุปกรณ์แสงอาทิตย์ การตั้งค่าระบบเฝ้าระวังความปลอดภัย และการใช้ซอฟต์แวร์ป้องกันภัยไซเบอร์เป็นสิ่งสำคัญที่ผู้ใช้ควรดำเนินการ https://www.techradar.com/pro/millions-of-solar-power-systems-could-be-at-risk-of-cyber-attacks-after-researchers-find-flurry-of-vulnerabilities

บทความนี้เกี่ยวกับช่องโหว่ความปลอดภัยที่มีผลต่อไฟร์วอลล์ SonicWall ซึ่งช่วยให้แฮ็กเกอร์สามารถขโมยการเชื่อมต่อ VPN ได้โดยไม่ต้องผ่านการยืนยันตัวตน ข้อบกพร่องนี้ได้รับการระบุเป็น CVE-2024-53704 และนักวิจัยจาก Bishop Fox ได้เปิดเผยรายละเอียดการทำงานของการโจมตีทั้งหมด ทำให้ผู้ดูแลระบบเครือข่ายต้องรีบอัพเดตเฟิร์มแวร์ของ SonicOS เพื่อป้องกันการโจมตี ช่องโหว่นี้ทำให้ผู้โจมตีสามารถควบคุมการเชื่อมต่อ VPN ที่กำลังใช้งานอยู่ได้โดยการส่งคุกกี้ที่ถูกดัดแปลงไปยังปลายทางการยืนยันตัวตนของ SSL VPN ที่ '/cgi-bin/sslvpnclient' วิธีนี้ทำให้ระบบไม่สามารถตรวจสอบการเชื่อมต่อได้ถูกต้อง และให้สิทธิ์ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อ Bishop Fox ได้ประกาศว่าพวกเขาได้พัฒนาโปรแกรมการโจมตีที่ทำงานได้จริงและสามารถจำลองการโจมตีเพื่อยืนยันช่องโหว่นี้ ซึ่งการโจมตีทำให้พวกเขาสามารถระบุตัวตนของผู้ใช้งานและโดเมนของการเชื่อมต่อที่ถูกขโมยได้ รวมถึงสามารถเข้าถึงการตั้งค่าและทรัพยากรเครือข่ายภายในของเหยื่อ SonicWall ได้ออกการอัพเดตเฟิร์มแวร์เพื่อแก้ไขปัญหานี้แล้ว สำหรับเวอร์ชัน 7.1.x ถึง 7.1.1-7058, 7.1.2-7019, และ 8.0.0-8035 โดยผู้ดูแลระบบควรอัพเดตเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการโจมตี https://www.bleepingcomputer.com/news/security/sonicwall-firewall-exploit-lets-hackers-hijack-vpn-sessions-patch-now/

Fortinet ได้ออกคำเตือนเกี่ยวกับข้อบกพร่องของระบบที่เป็น Zero-Day ซึ่งทำให้แฮ็กเกอร์สามารถแฮ็คไฟร์วอลล์ของ Fortinet และบุกรุกเครือข่ายองค์กรได้ ข้อบกพร่องนี้เรียกว่า CVE-2025-24472 ซึ่งอนุญาตให้แฮ็กเกอร์สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบสูงสุดได้โดยการทำคำขอ CSF Proxy ที่ถูกดัดแปลง ข้อบกพร่องนี้ส่งผลกระทบต่อ FortiOS เวอร์ชัน 7.0.0 ถึง 7.0.16 และ FortiProxy เวอร์ชัน 7.0.0 ถึง 7.0.19 และ 7.2.0 ถึง 7.2.12 Fortinet ได้เพิ่มข้อบกพร่องนี้เข้าไปในประกาศความปลอดภัยที่ออกเมื่อเดือนที่แล้ว และแนะนำให้ผู้ดูแลระบบดำเนินมาตรการเพื่อป้องกันการโจมตี จากรายงานของ Arctic Wolf พบว่ามีการโจมตีไฟร์วอลล์ FortiGate ของ Fortinet ที่มีการเปิดเผยข้อมูลสู่สาธารณะตั้งแต่กลางเดือนพฤศจิกายนปีที่แล้ว โดยมีการสร้างบัญชีผู้ใช้งานใหม่และทำการปรับแต่งการตั้งค่าเพื่อเข้าถึงเครือข่ายภายใน Fortinet แนะนำว่าผู้ดูแลระบบที่ยังไม่สามารถอัพเดตความปลอดภัยได้ทันทีควรปิดการเข้าถึงอินเตอร์เฟซการจัดการ HTTP/HTTPS หรือจำกัดที่อยู่ IP ที่สามารถเข้าถึงได้เป็นวิธีการชั่วคราว https://www.bleepingcomputer.com/news/security/fortinet-warns-of-new-zero-day-exploited-to-hijack-firewalls/

พบช่องโหว่ร้ายแรงในระบบป้องกันไฟร์วอลล์ KerioControl ของ GFI ที่มีผู้ใช้งานมากกว่า 12,000 รายทั่วโลก ช่องโหว่นี้ทำให้สามารถทำการโจมตีทางรหัสจากระยะไกล (Remote Code Execution - RCE) ได้ KerioControl เป็นชุดความปลอดภัยเครือข่ายที่ใช้ในการจัดการ VPN การควบคุมแบนด์วิดท์ การรายงานและการตรวจสอบ การกรองทราฟิก การป้องกันไวรัส และการป้องกันการบุกรุก ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Egidio Romano (EgiX) ในกลางเดือนธันวาคมที่ผ่านมา และเขาได้แสดงให้เห็นว่าช่องโหว่นี้สามารถใช้โจมตีได้โดยการคลิกเพียงครั้งเดียว GFI Software ได้ปล่อยอัปเดตความปลอดภัยเวอร์ชัน 9.4.5 Patch 1 เมื่อวันที่ 19 ธันวาคม 2024 แต่มากกว่า 23,800 ระบบยังคงมีช่องโหว่นี้อยู่ เมื่อต้นเดือนที่ผ่านมา Greynoise รายงานว่ามีการโจมตีที่ใช้ช่องโหว่นี้เพื่อขโมยโทเค็น CSRF ของแอดมินและมีการโจมตีจริงตามมาจากบริการตรวจสอบภัยคุกคาม The Shadowserver Foundation ที่พบว่ามีระบบ KerioControl ที่ยังคงมีช่องโหว่จำนวน 12,229 ระบบ ช่องโหว่นี้สามารถถูกใช้งานโดยแฮกเกอร์ที่ไม่มีทักษะเฉพาะเพราะมี PoC (Proof-of-Concept) ที่เป็นสาธารณะ ช่องโหว่นี้เกี่ยวข้องกับการจัดการพารามิเตอร์ GET ของหน้าเว็บที่ไม่ถูกทำความสะอาดอย่างเหมาะสมก่อนที่จะถูกใช้ในการสร้าง HTTP header ทำให้สามารถทำการโจมตีแบบ HTTP Response Splitting และ Reflected XSS ได้ ซึ่งอาจนำไปสู่การโจมตี RCE ได้ในที่สุด หากคุณยังไม่ได้อัปเดตความปลอดภัย ควรติดตั้ง KerioControl เวอร์ชัน 9.4.5 Patch 2 ที่ปล่อยออกมาเมื่อวันที่ 31 มกราคม 2025 ซึ่งมีการปรับปรุงความปลอดภัยเพิ่มเติม https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/

มีกลุ่มแฮ็กเกอร์กำลังใช้ช่องโหว่ Denial of Service (DoS) ที่ชื่อว่า CVE-2024-3393 เพื่อปิดการทำงานของไฟร์วอลล์ของ Palo Alto Networks โดยการส่งแพ็กเกจที่เป็นอันตรายผ่าน data plane ของไฟร์วอลล์ ทำให้ไฟร์วอลล์รีบูตตัวเองเข้าสู่โหมดการบำรุงรักษา และจะใช้งานไม่ได้ จนกว่าจะคนเข้าไปจัดการให้รึบูตเข้าสู่โหมดปกติอีกครั้ง ช่องโหว่นี้มีผลกระทบต่ออุปกรณ์ที่เปิดใช้งานการบันทึก DNS Security และมีการแก้ไขใน PAN-OS เวอร์ชัน 10.1.14-h8, 10.2.10-h12, 11.1.5, และ 11.2.3 ส่วน PAN-OS 11.0 และเก่ากว่าจะไม่ได้รับการแก้ไขเนื่องจากถึงวันหมดอายุการใช้งาน (EOL) แล้ว Palo Alto Networks ได้เผยแพร่แนวทางแก้ไขและขั้นตอนการลดปัญหาสำหรับผู้ที่ไม่สามารถอัปเดตได้ทันที เช่น การเปลี่ยนแปลงการตั้งค่าความรุนแรงของการบันทึก DNS Security เป็น "none" และการเปิดเคสสนับสนุนเพื่อปิดการบันทึก DNS Security ในทุก NGFWs https://www.bleepingcomputer.com/news/security/hackers-exploit-dos-flaw-to-disable-palo-alto-networks-firewalls/

สนใจFirewall สอบถามได้ครับ #sophos #firewallthai

Xgs2100 #sophos #firewallthai

วันนี้อัพเฟริมแวร์ Firewall #firewallthai #sophos

อัพเฟริมแวร์... #Firewakll #Sophos😊 #firewallthai

www.firewallthai.com