เมื่อวันที่ 20 เมษายน 2564 ทาง Pulse Secure แจ้งเตือนช่องโหว่ระดับวิกฤต (Critical) ในผลิตภัณฑ์ Pulse Connect Secure (PCS) ที่ช่วยให้อุปกรณ์พกพา เช่น โน๊ตบุ๊ค สมาร์ทโฟน และอุปกรณ์ต่าง ๆ สามารถเชื่อมต่อ VPN เพื่อเข้าถึงข้อมูลหรือบริการต่าง ๆ ขององค์กรได้ ซึ่งปัจจุบันผลิตภัณฑ์ดังกล่าวพบช่องโหว่ที่มีระดับความรุนแรง CVSSv3 อยู่ที่ 10 คะแนน ซึ่งถือได้ว่าอยู่ในระดับวิกฤต (Critical)  ส่งผลกระทบกับอุปกรณ์ในเวอร์ชัน 9.0R3 ขึ้นไป และพบว่าถูกใช้เป็นช่องทางในการโจมตีแล้ว

ในช่วง Work from home แบบนี้ หลายๆ คนคงได้ใช้บริการ VPN กันบ่อยขึ้น หรือใครที่ไม่เคยใช้ก็งานหรือไม่เคยรู้จักก็จะได้ใช้งานกันอย่างแน่นอนเพราะ VPN จะช่วยให้ท่านสามารถทำงานได้เหมือนกับนั่งทำงานที่ Office ไม่ว่าจะเป็นการเข้าใช้งานระบบงานต่าง ๆ หรือเข้าไปเอาไฟล์ที่อยู่ในแชร์ไฟล์ของ Office หรือบางที่อาจจะมีการใช้โทรศัพท์ IP Phone ของ Office ได้ผ่านการ VPN ซึ่งเป็นบริการที่ถูกโจมตีในบทความกรณีศึกษาครั้งนี้

ทีม Security Research ของ FireEye ค้นพบช่องโหว่ CVE-2021-22893 ซึ่งระบุว่าจะทำให้ผู้โจมตีสามารถขโมย Active Directory Credential และ Bypass การทำ Multifactor Authentication บนอุปกรณ์ Pulse Secure ได้ ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายของผู้ที่ตกเป็นเหยื่อ นอกจากนี้ยังสามารถฝัง Scripts บนอุปกรณ์เพื่อให้ Malware ยังคงอยู่ถึงแม้ว่าผู้ดูแลระบบจะอัปเดตซอฟแวร์ หรือทำ Factory reset แล้วก็ตาม ดังนั้นการอัปเดตเป็นเวอร์ชัน 9.1R.11.4 จึงทำได้เพียงบรรเทาความรุนแรงที่อาจจะเกิดขึ้นเท่านั้น แต่การแก้ไขช่องโหว่นี้ คาดว่าจะออกมาในช่วงเดือนพฤษภาคม และแจ้งถึงผู้ใช้งานผลิตภัณฑ์ว่า อย่างไรก็ตามขอให้ผู้ใช้งานผลิตภัณฑ์ Pulse Connect Secure (PCS) SSL VPN appliance อัปเดตอุปกรณ์เป็นเวอร์ชัน 9.1R.11.4 จากนั้นให้รอการอัปเดต อย่างเต็มรูปแบบอีกครั้ง

Mandiant บริษัทรักษาความปลอดภัยคอมพิวเตอร์ พบว่ามี Malware กว่า 10 ตระกูลถูกใช้เพื่อโจมตีเมื่อสามารถเจาะผ่านช่องโหว่ดังกล่าวมาได้ โดยทำการสรุปกลุ่ม State-Sponsored Attack ได้ดังนี้

UNC2630 เน้นไปยังบริษัทอุตสาหกรรมทางทหาร (Defense Industry Base, DIB) ของสหรัฐ โดยใช้ Malware ตระกูล  ดังนี้

  • SLOW PULSE
  • RADIAL PULSE
  • THIN BLOOD
  • ATRIUM
  • PACEMAKER
  • SLIGHTPULSE
  • PULSE CHECK

UNC2717 พุ่งเป้าไปยังหน่วยงานราชการ (Government agencies) ทั่วโลก โดยใช้ Malware ตระกูล ดังนี้

  • HARDPULSE
  • QUIETPULSE
  • PULSEJUMP
Zero-Day คืออะไร?

ช่องโหว่ zero-day เป็นช่องโหว่ที่เกิดขึ้นตั้งแต่กระบวนการออกแบบและพัฒนาในระบบ หรืออุปกรณ์ แต่เป็นช่องโหว่ที่ถูกค้นพบ หรือโดนโจมตีก่อนที่นักวิจัยด้านความปลอดภัยและนักพัฒนาซอฟต์แวร์จะรู้ตัวหรือนักพัฒนาพึ่งได้เรียนรู้เกี่ยวกับช่องโหว่นั้น หมายความว่าตอนที่พบช่องโหว่ยังไม่มีวิธีแก้ไขและยังไม่ได้ออกแพตซ์ช่องโหว่อย่างเป็นทางการ เรียกได้ว่ายังไม่ทันได้มีเวลาให้ได้แก้ไขก็ถูกโจมตีก่อนแล้ว จึงถูกเรียกว่า ช่องโหว่ zero-day นั่นเอง

คุณจะป้องกันการโจมตีจากช่องโหว่ Zero-day ได้อย่างไรบ้าง

ช่องโหว่ Zero-day เป็นช่องโหว่ที่มีความเสี่ยงสูง ซึ่งหากระบบหรืออุปกรณ์ของคุณถูกโจมตีอาจทำให้เกิดความเสียหายร้ายแรงได้ เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นควรมีการป้องกันทั้งเชิงรุกและเชิงรับ ดังนี้

การป้องกันเชิงรุก
  1. ตรวจสอบและปฏิบัติตาม Security Best Practice ได้แก่
    • User session security
    • Server-side security
    • Device Management
    • Authentication security
  2. การเฝ้าระวังภัยคุกคาม

เนื่องจากภัยคุกคามมีหลากหลายประเภท การวิเคราะห์ พฤติกรรมการใช้งานระบบหรืออุปกรณ์ถือว่ามีความสำคัญที่จะทำให้เราสังเกตุถึงเหตุการณ์ที่ผิดปกติ และหาวิธีการป้องกันได้ก่อน INETMS มีบริการ Security Operation Center โดยผู้เชี่ยวชาญด้านความปลอดภัยของเราสามารถเฝ้าระวังและแจ้งเตือนเมื่อพบเหตุการณ์ผิดปกติ พร้อมคำแนะนำในการแก้ไขให้คุณได้ตลอด 24 ชั่วโมง

  1. การแสกนหาช่องโหว่ และประเมินความเสี่ยง

ระบบและอุปกรณ์ต่างๆ ของคุณอาจจะมีช่องโหว่อีกมากมายที่ยังไม่ถูกค้นพบ INETMS มีบริการ VA Scan ที่จะช่วยคุณค้นหาช่องโหว่ต่างๆ พร้อมรายงานการประเมินความเสี่ยงและคำแนะนำในการแก้ไข

สำหรับลูกค้าของ Pulse Secure สามารถ Download เครื่องมือ Pulse Connect Secure Integrity Tool เพื่อทำการตรวจประเมินความเสี่ยงของระบบที่ใช้งานอยู่ได้ สำหรับผู้ใช้งานผลิตภัณฑ์ที่มีสิทธิ์เท่านั้น

การป้องกันเชิงรับ
  1. ทำการติดตั้ง Patch ที่ยังขาดและติดตาม Patch ที่กำลังจะออกมาในเดือนพฤษภาคม
  2. ตั้งค่า XML สำหรับแก้ไขปัญหาชั่วคราวจากทาง Pulse Secure ผู้ดูแลระบบสามารถดาวน์โหลดไฟล์จากทาง Pulse Secure นำเข้าไป Import ใส่ในระบบเพื่อตั้งค่าหยุดการทำงานในส่วนของ Windows File Share Browser และ Pulse Collaboration ที่ได้รับผลกระทบ
  3. ควรติดตามข่าวสารอัปเดตแพตช์แก้ไขช่องโหว่จากทาง Pulse Secure

อย่าประมาทกับภัยคุกคาม อาชญากรไซเบอร์พยายามหาช่องโหว่ด้านความปลอดภัยและเข้าถึงอุปกรณ์และข้อมูลระบบ อุปกรณ์ และข้อมูลส่วนบุคคลของพวกเราอยู่เสมอ โดยอาชญากรไซเบอร์เหล่านี้สามารถใช้ข้อมูลของพวกเราเพื่อก่ออาชญากรรมทางไซเบอร์ได้หลายประเภท เช่น การโจรกรรมข้อมูลส่วนตัว การฉ้อโกง การทำลายภาพลักษณ์องค์กร การทำลายความน่าเชื่อถือ หรือแม้กระทั่งโจมตีด้วย Ransomware เรียกค่าไถ่

INETMS พร้อมให้บริการศูนย์เฝ้าระวังรักษาความมั่นคงปลอดภัยระบบเครือข่าย และเทคโนโลยีสารสนเทศ (Security Operation Center) ผู้เชี่ยวชาญพร้อมให้บริการคำปรึกษาและบริการด้าน Security ที่ครอบคลุมกฎหมาย พ.ร.บ. คอมพิวเตอร์ 2560 พ.ร.บ. การรักษาความปลอดภัยมั่นคงไซเบอร์ 2562 และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562

.

สอบถามรายละเอียดเพิ่มเติมด้านโซลูชันและบริการ Cyber Security ติดต่อได้ที่

อีเมล: sales@inetms.co.th

โทร: 0-2257-7100

Website: https://bit.ly/3aarbU6

Facebook: https://bit.ly/3jlqZUZ

References

https://www.tenable.com/blog/cve-2021-22893-zero-day-vulnerability-in-pulse-connect-secure-exploited-in-the-wild

https://www.bleepingcomputer.com/news/security/pulse-secure-vpn-zero-day-used-to-hack-defense-firms-govt-orgs/?fbclid=IwAR01k-IIV53t4ebJBquWcMEvCFWlVijV7wCstCEmLt-862ifYDfF7o6wvUM

https://www.fireeye.com/blog/threat-research/2021/04/suspected-apt-actors-leverage-bypass-techniques-pulse-secure-zero-day.html?fbclid=IwAR27Ajes0EhMqGIGxpE7SIUJ6Mzt2zwcs1KS_h-2OZyKHpbZOleBlDwv_Eg

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB29805/?kA1j0000000Fil5&fbclid=IwAR27Ajes0EhMqGIGxpE7SIUJ6Mzt2zwcs1KS_h-2OZyKHpbZOleBlDwv_Eg

https://www.pulsesecure.net/

https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784

บริการ Security