CISA ໜ່ວຍ​ງານ​ດ້ານ​ການ​ຮັກສາ​ຄວາມປອດໄພ ​ທາງ​ໄຊ​ເບີ​ ຂອງ​ສ​ະຫະລັດອາເມລິກາ​ ໄດ້​ແຈ້ງ​ເຕືອນ​ການ​ພົບ​ຊ່ອງ​ໂຫວ່​ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ critical ໃນ​ Citrix ShareFile secure file transfer ຊຶ່ງ​ມີ​ໝາຍ​ເລກ​ CVE-2023-24489 ກຳ​ລັງ​ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ ຊຶ່ງ​ CISA ໄດ້​ເພີ່ມ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​​ໃນໝວດໝູ່​ຂອງ​ known security exploited vulnerability (KEV) ຮຽບຮ້ອຍ​ແລ້ວ​.

Citrix ShareFile (ຫຼື​ ເອີ້ນວ່າ​ Citrix Content Collaboration) ເປັນ​ໂຊ​ລູ​ຊັ່ນ​ (Solution) ການ​ຈັດ​ເກັບ​ຟາຍເທິງຄລາວ (Cloud)​ SaaS ທີ່​ມີ​ການ​ຈັດການ​ ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ຜູ້​ໃຊ້​ງານ​ ສາມາດ​ອັບ​ໂຫຼດ​ ແລະ ​ດາວ​​ໂຫຼດ​ຟາຍ​ໄດ້​ຢ່າງ​ປອດໄ​ພ​ ລວມ​ທັງ​ຍັງມີ​ໂຊ​ລູ​ຊັ່ນ​ 'Storage zones controller' ທີ່​ຊ່ວຍ​ໃຫ້​ລູກ​ຄ້າ​ອົງກອນ ສາມາດ​ກຳນົດ​ຄ່າ​ພື້ນ​ທີ່​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ສ່ວນ​ຕົວ​ ຂອງ​ຕົນ​ເປັນ​ໂຮດຟາຍ (host files) ​ໄດ້​ ບໍ່​ວ່າ​ຈະ​ເປັນ​ໃນ​ອົງກອນ​ ຫຼື ​ເທິງ​ແພັດຟອມ​ຄລາວ (cloud platforms) ​ທີ່​ຮອງ​ຮັບ​ ເຊັ່ນ:​ Amazon S3 ແລະ​ Windows Azure.

ໃນ​ວັນທີ​ 13 ມິ​ຖຸ​​ 2023 Citrix ໄດ້​ເຜີຍແຜ່​ຄຳ​ແນະ​ນຳ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ ກ່ຽວກັບ​ຊ່ອງ​ໂຫວ່​ ShareFile storage zones ທີ່​ມີ​ໝາຍ​ເລກ​ CVE-2023-24489 (ຄະ​ແນນ​ CVSS 9.8/10 ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ critical) ທີ່​ເກີດ​ຈາກ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ AES ຂອງ​ ShareFile ເຮັດໃຫ້​ Hacker ສາມາດຫຼົບ​ຫຼີກ​ການ​ກວດ​ສອບ​ສິດ​ ແລະ ​ໂຈມ​ຕີຊ່ອງ​ໂຫວ່​ ShareFile storage zones ຂອງ​ລູກ​ຄ້າ​ໄດ້​ຈາກ​ພາຍນອກ​ ຊຶ່ງ​ Hacker ສາມາດ​ອັບ​ໂຫຼດ​ web shell ໄປຫາອຸປະກອນ​ ເພື່ອ​ໃຫ້​ເຂົ້າ​ເຖິງ​ພື້ນ​ທີ່​ເກັບ​ຂໍ້​ມູນ​ ແລະ ​ຟາຍທັງ​ໝົດ​ໄດ້​.

CISA ໄດ້​ແຈ້ງ​ເຕືອນ​ວ່າ​ Hacker ມັກມີ​ເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ ​ໄປທີ່ຊ່ອງ​ໂຫວ່ງປະ​ເພດ​ດັ່ງ​ກ່າວ​ ຊຶ່ງ​ເຮັດ​ໃຫ້​ເກີດ​ຄວາມ​ສ່ຽງ ​ທີ່​ສຳຄັນ​ຕໍ່​ອົງ​ກອນ ຂອງ​ລັດຖະບານ​ກາງ​ ເນື່ອງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ ທີ່​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ໂຊ​ລູ​ຊັ່ນ​ Managed File Transfer (MFT) ເຮັດໃຫ້​ Hacker ສາມາດ​ລັກ​ຂໍ້​ມູນ​ຈາກ​ບໍລິສັດ​ຕ່າງ​ໆ​.

​ກຸ່ມ​ “Clop ransomware” ກໍ່​ຖື​ເປັນ​ໜຶ່ງ​ໃນ​ກຸ່ມ​ Hacker ທີ່ມີເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໂດຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່ປະ​ເພດ​ນີ້​ເຊັ່ນ​ກັນ​ ຊຶ່ງ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ເຫຼົ່າ​ນີ້​ໃນ​ການ​ໂຈມ​ຕີຢ່າງ​ແຜ່​ຫຼາຍ ​ມາ​ຕັ້ງ​ແຕ່​ປີ​ 2021 ໂດຍ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ Zero-day ຕ່າງ​ໆ​ ໃນ​ການ​ໂຈມ​ຕີ​ ເຊັ່ນ:​ Accellion FTA solution, SolarWinds Serv-U, GoAnywhere MFT ແລະ​ ຫຼ້າ​ສຸດ ​ຄື​ MOVEit Transfer Server.

ການ​ໂຈມ​ຕີ​ຍັງ​ມີ​ຢ່າງ​ຕໍ່​ເນື່ອງ​

ນັກ​ວິໄ​ຈ​ຈາກ​ AssetNote ໄດ້​ແບ່ງ​ປັນ​ຂໍ້​ມູນ​ການ​ວິ​ໄຈ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ ເພື່ອ​ພັດທະນາ​ exploits ສຳລັບ​ຊ່ອງ​ໂຫວ່​ Citrix ShareFile CVE-2023-24489 ຫຼັງ​ຈາກ​ນັ້ນ​ບໍ່​ດົນ​ ນັກ​ວິ​ໄຈ​ຄົນ​ອື່ນ​ໆ​ ກໍ່​ປ່ອຍ​ exploits  ຂອງ​ຕົວ​ເອງ​ເທິງ​ GitHub ລວມທັງ​ GreyNoise ໄດ້​ພົບ​ການ​ພະຍາຍາມ​ໂຈມ​ຕີ​ ShareFile Server ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ຫຼາຍ​ກວ່າ​ 72 IP addresses ໂດຍ​ສ່ວນ​ຫຼາຍ ມາ​ຈາກ​ເກົາ​ຫຼີ​ໃຕ້​, ໃນ​ຟິນ​ແລນ​,​ ອັງກິດ, ສະ​ຫະລັດ​ອາ​ເມ​ລິ​ກາ ແລະ ​ປະເທດ ​ອື່ນໆ​.

ນອກ​ຈາກ​ນີ້​ ທາງ​ CISA ໄດ້​ກຳນົດ​ໃຫ້​ໜ່ວຍ​ງານ​ Federal Civilian Executive Branch ( FCEB ) ​ຮີບ​ອັບ​ເດດ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ ​ພາຍ​ໃນ​ວັນທີ​ 6 ກັນຍາ​ 2023 ພ້ອມທັງ​ແຈ້ງ​ເຕືອນ​ໃຫ້​ອົງ​ກອນ​ຕ່າງ​ໆ​ ຮີບ​ອັບ​ເດດ​ໂດຍ​ໄວ​.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-citrix-sharefile-flaw-exploited-in-the-wild/
2. https://www.i-secure.co.th/2023/08/cisa-%e0%b9%80%e0%b8%95%e0%b8%b7%e0%b8%ad%e0%b8%99%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88%e0%b8%a3%e0%b8%b0%e0%b8%94%e0%b8%b1%e0%b8%9a-critical-%e0%b9%83%e0%b8%99-citr/