นักวิจัยด้านความปลอดภัยจาก Check Point เปิดเผยการโจมตีของ FreakOut botnet ที่เข้าโจมตีผ่านช่องโหว่อุปกรณ์ที่ไม่ได้อัปเดตแพทซ์บนระบบปฏิบัติการ Linux

FreakOut botnet ถูกพบในเดือนพฤศจิกายน 2020 ที่ผ่านมา เป็นภัยคุกคามที่ใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ที่ไม่ได้อัปเดตแพทซ์ เมื่อโจมตีจะส่งคำสั่งระบบปฏิบัติการ compromising ระบบ tarted เพื่อสร้าง IRC botnet ซึ่งสามารถใช้เพื่อทำแบบ Backing Process ที่เป็นอันตรายหลายอย่างรวมถึงการโจมตี DDoS และการขุด crypto ได้อีกด้วย

อุปกรณ์ที่ Check Point ตรวจพบและเสี่ยงที่จะถูกโจมตีได้แก่

  1. TerraMaster TOS (ระบบปฏิบัติการ TerraMaster) เป็นระบบปฏิบัติการที่ใช้สำหรับจัดการเซิร์ฟเวอร์ TerraMaster NAS (Network Attached Storage)
  2. Zend Framework เป็นชุดของแพ็คเกจที่ใช้ในการสร้างเว็บแอปพลิเคชันโดยใช้ PHP ซึ่งมีการติดตั้งมากกว่า 570 ล้านครั้ง
  3. Liferay Portal พอร์ทัลองค์กรแบบโอเพ่นซอร์สฟรีเป็นแพลตฟอร์มเว็บแอปพลิเคชันที่เขียนด้วย Java มีคุณสมบัติเกี่ยวข้องกับการพัฒนาพอร์ทัลและเว็บไซต์

สำหรับช่องโหว่ที่พบได้แก่:

  • CVE-2020-28188 คือ ข้อบกพร่อง RCE ที่อยู่ในแผงการจัดการ TerraMaster (เปิดเผยเมื่อวันที่ 24 ธันวาคม 2020) ข้อบกพร่องนี้อาจถูกโจมตีโดยแฮกเกอร์ที่ไม่ได้รับการตรวจสอบสิทธิ์ระยะไกลเพื่อใช้คำสั่ง OS และเข้าควบคุมเซิร์ฟเวอร์โดยใช้ TerraMaster TOS (เวอร์ชันก่อน 4.2.06)
  • CVE-2021-3007 คือ ข้อบกพร่องในการแยกส่วนที่มีผลต่อ Zend Framework (เปิดเผยเมื่อวันที่ 3 มกราคม 2021) ข้อบกพร่องที่ส่งผลกระทบต่อ Zend Framework เวอร์ชันที่สูงกว่า 3.0.0 ผู้โจมตีสามารถใช้ฟีเจอร์ Zend3 ที่โหลดคลาสจากอ็อบเจ็กต์เพื่ออัปโหลดและรันโค้ดอันตรายในเซิร์ฟเวอร์ สามารถอัปโหลดโค้ดได้โดยใช้พารามิเตอร์ “callback” ซึ่งในกรณีนี้จะใส่โค้ดที่เป็นอันตรายแทนอาร์เรย์ “callbackOptions”
  • CVE-2020-7961 คือ Java unmarshalling bug ผ่าน JSONWS ใน Liferay Portal (ในเวอร์ชันก่อน 7.2.1 CE GA2) (เปิดเผยเมื่อวันที่ 20 มีนาคม 2020) ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่อง โดยการเข้าถึงสิทธ์ควบคุมในระบบและเรียกใช้โค้ดจากระยะไกล จากนั้นก็นำไฟล์อันตรายเข้ามาโจมตี

ทั้งนี้ ผู้ใช้งานอุปกรณ์ที่กล่าวมา 3 ข้อ ให้รอการประกาศการแก้ไขแพทซ์อย่างเป็นทางการอีกครั้ง สำหรับผู้ที่ใช้งานอุปกรณ์อื่น ๆ ที่เป็นระบบปฏิบัติการ Linux ให้เพิ่มความปลอดภัยเพราะอาจถูกโจมตีได้ในอนาคต และควรติดตามข่าวภัยคุกคามเสมอ เพื่อการรับมือที่ทันท่วงที

ที่มา : https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html 



เนื้อหาที่เกี่ยวข้อง

1. ช่องโหว่ PrintNightmare กระทบ Windows ทุกเวอร์ชัน

2. พบช่องโหว่ Cisco ASA เสี่ยงถูกควบคุมเครื่อง แนะนำให้ผู้ใช้งานเร่งอัปเดต

3. ข้อมูลลูกค้า Volkswagen 5 ล้านรายการถูกขายบนแฮกเกอร์ฟอรั่ม

4. McDonald’s ยอมรับโดนแฮกข้อมูล

5. Rockyou2021 รวมรหัสผ่านรั่วไหลครั้งใหญ่ที่สุด กว่า 8.4 พันล้านรายการ