Cisco VPN กำลังถูกนำมาใช้ในการโจมตีองค์กรที่ไม่ได้ Multi-Factor Authentication
ช่วงวันที่ 20-27 สิงหาคมที่ผ่านมา นักวิจัยจาก Rapid7 ผู้นำซอฟต์แวร์ตรวจจับช่องโหว่ พบกลุ่มแฮกเกอร์นาม Akira ทำการโจมตีโดยวิธี Brute-Force Attack ไปยังเป้าหมายที่ใช้งาน Cisco Adaptive Security Appliance (ASA) SSL VPN โดยใช้ประโยชน์จากความหละหลวมในการป้องกันความปลอดภัย โดยเฉพาะการไม่เปิดใช้งาน Multi-Factor Authentication (MFA)
ราวหนึ่งสัปดาห์หลังจากพบเหตุการณ์ดังกล่าว Cisco ได้ออกมาเปิดเผยข้อมูลว่าผู้ใช้งานอย่างน้อย 11 รายตกเป็นเหยื่อการโจมตีครั้งนี้ โดยมีสาเหตุหลักมาจากไม่ได้เปิดใช้งาน Multi-Factor Authentication (MFA) พร้อมสรุปเหตุการณ์การโจมตีทั้งหมดที่เกิดขึ้นดังนี้
1. แฮคเกอร์ทำการโจมตีโดยใช้ User ที่เป็น Default ของระบบทั้งหมด เช่น Admin, Guest, Kali, Cisco, Printer, Security หรือ Test
2. โดยอุปกรณ์ที่ใช้โจมตีมีชื่อว่า 'WIN-R84DEUE96RB' โดยมี IP คือ 176.124.201[.]200 และ 162.35.92[.]242
3. หลังจากโจมตีได้สำเร็จ ก็จะใช้โปรแกรม Anydesk ในการแทรกซึมเข้าสู่ระบบอื่นๆ ต่อไป นอกจากนี้ยัง ทำการ Compromised เครื่องอื่นๆ โดยใช้ Credential บน Domain Controller ที่ได้มาจากการ Dumping NTDS.DIT Active Directory Database
4. Cisco ยังพบว่านอกจากการขโมยข้อมูลที่สำคัญแล้ว ผู้โจมตียังใช้วิธีการเดิมนี้ในการ Deploy Ransomware อย่าง Lockbit และ Akira อีกด้วย
ข้อคำแนะนำเพื่อความปลอดภัย
1. เปิดใช้งาน Multi-Factor Authentication
2. Disable Default User ที่มาจากระบบ เช่น Administrator, Backup, Guest หรืออื่นๆ
3. Enable Logging VPN ทุก User เพื่อเก็บข้อมูลการใช้งานหลังจาก VPN สำเร็จ
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity #VPN #MFA #CyberAttack
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
