Cisco Talos ออกเตือน บริการ VPN และ SSH เสี่ยงโดนโจมตีแบบ Brute-Force ซึ่งเป็นรูปแบบการโจมตีที่กำลังเพิ่มสูงขึ้นทั่วโลก 

ความแตกต่างระหว่างบริการ VPN และ SSH คืออะไร ?

VPN (Virtual Private Network) คือ เครือข่ายส่วนตัวเสมือน ที่จะสร้างการเชื่อมต่อเครือข่ายส่วนตัวระหว่างอุปกรณ์ต่าง ๆ ผ่านอินเทอร์เน็ต โดยเราสามารถใช้ VPN เพื่อส่งข้อมูลอย่างปลอดภัยและไม่เปิดเผยตัวตนผ่านเครือข่ายสาธารณะ ซึ่งจะทำงานโดยปกปิดที่อยู่ IP ของผู้ใช้ และเข้ารหัสข้อมูล เพื่อให้บุคคลที่ไม่ได้รับอนุญาตไม่สามารถอ่านได้

ส่วน SSH ย่อมาจาก Secure Shell เป็นโปรโตคอลเครือข่ายที่ใช้สำหรับการเข้าถึงระบบคอมพิวเตอร์ระยะไกลอย่างปลอดภัย ช่วยให้ผู้ใช้สามารถควบคุมคอมพิวเตอร์ เครื่องอื่นผ่านเครือข่าย  เปรียบเสมือนการเปิดหน้าต่างไปยังคอมพิวเตอร์อีกเครื่องหนึ่ง โดยไม่ต้องเดินทางไปที่เครื่องนั้น ระบบ SSH จะใช้การเข้ารหัสข้อมูลทั้งหมดที่ส่งผ่านเครือข่าย ป้องกันไม่ให้บุคคลอื่นทำการดักฟังหรือขโมยข้อมูลได้

ขณะที่การโจมตีแบบ Brute Force คือ การโจมตีโดยการคาดเดาชื่อผู้ใช้งาน, รหัสผ่าน เพื่อเข้าสู่ระบบโดยไม่ได้รับอนุญาต เป็นการโจมตีที่ง่ายและมีอัตราความสำเร็จที่สูง แฮ็กเกอร์จะใช้เครื่องมือเช่น Applications หรือการวางไฟล์ Scripts เพื่อโจมตีเซิร์ฟเวอร์ของเป้าหมาย โดยจะพยายามเข้าถึง Applications เซิร์ฟเวอร์เป้าหมายโดยค้นหารหัส Searching ที่ถูกต้อง และฝังมัลแวร์ลงไป 

ปัจจุบันการโจมตีด้วย Brute Force Attack เกือบทั้งหมดดำเนินการด้วย Bot เมื่อโจมตีสำเร็จ จะมีระบบแจ้งเตือนไปที่แฮ็กเกอร์ในทันที

Cisco Talos ระบุว่า การโจมตีรูปแบบนี้จะมุ่งไปที่อุปกรณ์สำหรับให้บริการ VPN และ SSH เหล่านี้

1. Cisco Secure Firewall VPN
2. Checkpoint VPN
3. Fortinet VPN
4. SonicWall VPN
5. RD Web Services
6. Mikrotik
7. Draytek
8. Ubiquiti

นอกจากนี้ Cisco Talos ยังให้ความเห็นว่า การโจมตีอาจมาจาก TOR Exit Nodes  ( TOR ในที่นี้คือ The Onion Router ซอฟต์แวร์เสรี ที่ช่วยให้สามารถสื่อสารทางอินเทอร์เน็ตแบบปิดบังตัวตนได้) ซึ่งต้นทางมาจาก IP address ที่ใช้โจมตี มักจะเชื่อมโยงกับ Proxy Service อย่าง TOR, VPN Gate, IPIDEA Proxy, BigMama Proxy, Space Proxies, Nexus Proxy, และ Proxy Rack และอื่นๆ

สาเหตุหลักที่มีการออกมาเตือนนี้ เนื่องมาจาก Cisco พบการโจมตีแบบ Password Spray จึงมีการแจ้งเตือนภัยดังกล่าวออกมา นอกจากนี้นักวิจัยจาก Fortinet FortiGuard Labs ยังค้นพบว่า ปัจจุบันแฮ็กเกอร์กำลังพยายามใช้ช่องโหว่ในเราเตอร์ เช่น TP-Link Archer AX21 (CVE-2023-1389) แม้ว่าจะมีการแก้ไขปัญหาดังกล่าวแล้วก็ตาม ซึ่งช่องโหว่นี้ทำให้แฮ็กเกอร์สามารถส่งมัลแวร์ประเภท DDoS botnet อย่างเช่น AGoent, Condi, Gafgyt, Mirai, Miori, และ MooBot ได้ 

Cisco ยังมีการระดมทุนและเปิดตัว HyperShield เครื่องมือ AI ที่จะช่วยสร้างระบบความปลอดภัยให้กับระบบคลาวด์, Data Center, แอปพลิชัน รวมถึงอุปกรณ์ไอทีอื่น ๆ โดยการเปิดตัวในครั้งนี้เกิดขึ้นหลังจาก Cisco เข้าซื้อบริษัท Splunk มูลค่า 28 พันล้านดอลลาร์

ปัญหาการโจมตี VPN และ SSH หรือแม้กระทั่งการโจมตีทางไซเบอร์รูปแบบอื่นๆที่กำลังระบาด อาจสร้างความกังวลใจไม่น้อย Security Pitch เราจึงขอเสนอโซลูชัน SIEM (Security Information & Event Management) บนแพลตฟอร์ม OneFence ที่สามารถตรวจจับการโจมตีแบบ Brute-Force ได้ทุกรูปแบบ พร้อมตรวจสอบและบันทึกเหตุการณ์ รายงานความผิดปกติแบบ Real-Time

ที่มา: The Hacker News, CNBC

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 061-462-6414, 02-103-6462
Line : @securitypitch
Email : [email protected]

บทความที่น่าสนใจ

• กลเม็ดใหม่โจมตี Apple ผ่านการเปลี่ยนรหัส และสปายแวร์
• ผู้ประกอบการต้องรู้! สรุปแนวโน้ม แผนแม่บทการส่งเสริมและคุ้มครองข้อมูลส่วนบุคคล 2567-2570
• Privacy Management รองรับกฎหมาย PDPA อย่างไร?