FreakOut botnet มุ่งโจมตี Linux ที่ไม่ได้แพตซ์

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

นักวิจัยด้านความปลอดภัยจาก Check Point เปิดเผยการโจมตีของ FreakOut botnet ที่เข้าโจมตีผ่านช่องโหว่อุปกรณ์ที่ไม่ได้อัปเดตแพทซ์บนระบบปฏิบัติการ Linux

FreakOut botnet ถูกพบในเดือนพฤศจิกายน 2020 ที่ผ่านมา เป็นภัยคุกคามที่ใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ที่ไม่ได้อัปเดตแพทซ์ เมื่อโจมตีจะส่งคำสั่งระบบปฏิบัติการ compromising ระบบ tarted เพื่อสร้าง IRC botnet ซึ่งสามารถใช้เพื่อทำแบบ Backing Process ที่เป็นอันตรายหลายอย่างรวมถึงการโจมตี DDoS และการขุด crypto ได้อีกด้วย

อุปกรณ์ที่ Check Point ตรวจพบและเสี่ยงที่จะถูกโจมตีได้แก่

  1. TerraMaster TOS (ระบบปฏิบัติการ TerraMaster) เป็นระบบปฏิบัติการที่ใช้สำหรับจัดการเซิร์ฟเวอร์ TerraMaster NAS (Network Attached Storage)
  2. Zend Framework เป็นชุดของแพ็คเกจที่ใช้ในการสร้างเว็บแอปพลิเคชันโดยใช้ PHP ซึ่งมีการติดตั้งมากกว่า 570 ล้านครั้ง
  3. Liferay Portal พอร์ทัลองค์กรแบบโอเพ่นซอร์สฟรีเป็นแพลตฟอร์มเว็บแอปพลิเคชันที่เขียนด้วย Java มีคุณสมบัติเกี่ยวข้องกับการพัฒนาพอร์ทัลและเว็บไซต์

สำหรับช่องโหว่ที่พบได้แก่:

  • CVE-2020-28188 คือ ข้อบกพร่อง RCE ที่อยู่ในแผงการจัดการ TerraMaster (เปิดเผยเมื่อวันที่ 24 ธันวาคม 2020) ข้อบกพร่องนี้อาจถูกโจมตีโดยแฮกเกอร์ที่ไม่ได้รับการตรวจสอบสิทธิ์ระยะไกลเพื่อใช้คำสั่ง OS และเข้าควบคุมเซิร์ฟเวอร์โดยใช้ TerraMaster TOS (เวอร์ชันก่อน 4.2.06)
  • CVE-2021-3007 คือ ข้อบกพร่องในการแยกส่วนที่มีผลต่อ Zend Framework (เปิดเผยเมื่อวันที่ 3 มกราคม 2021) ข้อบกพร่องที่ส่งผลกระทบต่อ Zend Framework เวอร์ชันที่สูงกว่า 3.0.0 ผู้โจมตีสามารถใช้ฟีเจอร์ Zend3 ที่โหลดคลาสจากอ็อบเจ็กต์เพื่ออัปโหลดและรันโค้ดอันตรายในเซิร์ฟเวอร์ สามารถอัปโหลดโค้ดได้โดยใช้พารามิเตอร์ “callback” ซึ่งในกรณีนี้จะใส่โค้ดที่เป็นอันตรายแทนอาร์เรย์ “callbackOptions”
  • CVE-2020-7961 คือ Java unmarshalling bug ผ่าน JSONWS ใน Liferay Portal (ในเวอร์ชันก่อน 7.2.1 CE GA2) (เปิดเผยเมื่อวันที่ 20 มีนาคม 2020) ผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่อง โดยการเข้าถึงสิทธ์ควบคุมในระบบและเรียกใช้โค้ดจากระยะไกล จากนั้นก็นำไฟล์อันตรายเข้ามาโจมตี

ทั้งนี้ ผู้ใช้งานอุปกรณ์ที่กล่าวมา 3 ข้อ ให้รอการประกาศการแก้ไขแพทซ์อย่างเป็นทางการอีกครั้ง สำหรับผู้ที่ใช้งานอุปกรณ์อื่น ๆ ที่เป็นระบบปฏิบัติการ Linux ให้เพิ่มความปลอดภัยเพราะอาจถูกโจมตีได้ในอนาคต และควรติดตามข่าวภัยคุกคามเสมอ เพื่อการรับมือที่ทันท่วงที

ที่มา : https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html 

บทความที่เกี่ยวข้อง