มันมาแล้ว !! เตือนภัย SambaCry เจาะช่องโหว่ Linux ผ่าน Samba

หลังจากที่ทีมงาน Samba ออกแพทช์อุดช่องโหว่อายุนานกว่า 7 ปี ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าควบคุมระบบปฏิบัติการ Linux จากระยะไกลได้เมื่อประมาณ 2 สัปดาห์ก่อน ล่าสุดพบว่ามีกลุ่มแฮ็คเกอร์เริ่มโจมตีอุปกรณ์ Linux ผ่านช่องโหว่ดังกล่าวเพื่อสั่งให้ขุดเหมืองเงินดิจิทัลสร้างรายได้ให้กับตนเองแล้ว

นักวิจัยหลายฝ่ายเริ่มเรียกช่องโหว่นี้ว่า SambaCry หรือ EternalRed เนื่องจากแฮ็คเกอร์เจาะระบบปฏิบัติการ Linux ผ่านช่องโหว่โปรโตคอล SMB และมีลักษณะคล้ายคลึงกับการแพร่ระบาดของ WannaCry ที่เกิดขึ้นเมื่อช่วงกลางเดือนพฤษภาคมที่ผ่านมา ซึ่งการโจมตีนี้ช่วยให้แฮ็คเกอร์สามารถเปิด “Pipe” บน Samba Server อัปโหลดมัลแวร์และสั่งรันเพื่อเข้าควบคุม Server ได้

แฮ็คเกอร์เริ่มโจมตีผ่านช่องโหว่ SambaCry เมื่อประมาณวันที่ 30 พฤษภาคมที่ผ่านมา โดยทำการสแกนเครือข่ายอินเทอร์เน็ตเพื่อค้นหา Samba File Sharing Server ที่ยังไม่ได้อัปเดตแพทช์ปิดช่องโหว่ จากนั้นจะทำการทดสอบว่าสามารถอัปโหลดโค้ดและสั่งรันได้หรือไม่ผ่านการทดลองโหลดไฟล์จำนวน 8 ไฟล์เข้าสู่ Server นั้นๆ ถ้าสามารถรันโค้ดได้สำเร็จ แฮ็คเกอร์จะทำการอัปโหลดมัลแวร์เข้าไป 2 ไฟล์ ซึ่งไฟล์แรกทำหน้าที่เป็น Remote Shell ที่ให้สิทธิ์การเข้าถึงแบบ Root แก่แฮ็คเกอร์ และอีกไฟล์หนึ่งเป็นเวอร์ชันดัดแปลงของเครื่องมือสำหรับใช้ขุดเหมืองเงินดิจิทัลชื่อดังที่ชื่อว่า Cpuminer

การใช้ Remote Shell เพื่อติดตั้ง Cpuminer เวอร์ชันดัดแปลงนี้ ถูกเรียกว่าเป็นการโจมตีแบบ EternalMiner

ผู้เชี่ยวชาญจาก Kaspersky Lab ได้ทำการติดตามการโจมตีแบบ EternalMiner ตั้งแต่ช่วงแรก พบว่าแฮ็คเกอร์ที่อยู่เบื้องหลังการโจมตีนี้ขุดเหมืองเงินดิจิทัล Monero ผ่านทาง Samba Server ที่ตัวเองเข้าควบคุม และทำรายได้ไปแล้วมากถึง 98 Monero หรือประมาณ 180,000 บาท ดังนั้นแล้ว เพื่อไม่ให้ Samba Server ของตนตกเป็นเหยื่อของแฮ็คเกอร์ แนะนำให้ผู้ดูแลระบบอัปเดตแพทช์เพื่ออุดช่องโหว่ CVE-2017-7494 โดยด่วน

ที่มา: https://www.bleepingcomputer.com/news/security/linux-servers-hijacked-to-mine-cryptocurrency-via-sambacry-vulnerability/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

Microsoft มอบเงินรางวัล 13.7 ล้านเหรียญสหรัฐฯ ให้กับ Bug Bounty Program

ในรอบปีที่ผ่านมา Microsoft มอบเงินรางวัลกว่า 13.7 ล้านเหรียญสหรัฐฯ ให้กับนักวิจัยจำนวน 335 คน ผ่าน Microsoft Bug Bounty Programs