ShinyHunters แฮ็ก NAIC ผ่านช่องโหว่ศูนย์วันของ PeopleSoft

กลุ่มอ extortion ShinyHunters ได้เจาะระบบของ National Association of Insurance Commissioners (NAIC) ผ่านช่องโหว่ศูนย์วัน (zero‑day) ของเซิร์ฟเวอร์ Oracle PeopleSoft** ทำให้สามารถดึงข้อมูลสาธารณะและไฟล์กำหนดค่าบางส่วนออกมาได้ การรั่วไหลครั้งนี้เป็นประเด็นสำคัญเพราะ NAIC มีบทบาทกำกับดูแลอุตสาหกรรมประกันภัยของสหรัฐฯ ซึ่งอาจส่งผลต่อความเชื่อมั่นของผู้บริโภคและผู้ประกอบการในอุตสาหกรรมดังกล่าว

Overview

ตามที่ BleepingComputer รายงานในเดือนพฤษภาคม 2024 NAIC ยืนยันว่าเหตุการณ์การละเมิดข้อมูลเกิดจากการที่กลุ่ม ShinyHunters ใช้ช่องโหว่ศูนย์วันของ Oracle PeopleSoft เพื่อเข้าถึงเซิร์ฟเวอร์ภายในขององค์กร การโจมตีไม่ใช่การเข้าถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อน แต่เป็นข้อมูลที่อยู่ในที่สาธารณะและไฟล์ระบบที่ล้าสมัย

การตรวจพบเหตุการณ์เกิดขึ้นภายในสองสัปดาห์หลังจากที่ระบบตรวจสอบความปลอดภัยของ NANAIC แจ้งเตือนว่ามีการเข้าถึงโดยไม่ได้รับอนุญาต กลุ่มผู้ดูแลระบบได้ทำการปิดกั้นการเชื่อมต่อและเริ่มขั้นตอนการตรวจสอบเหตุการณ์อย่างเร่งด่วน

NAIC เป็นองค์กรที่ทำหน้าที่เป็นศูนย์กลางการกำกับดูแลและประสานงานระหว่างรัฐต่าง ๆ ในสหรัฐอเมริกาเกี่ยวกับกฎหมายและมาตรฐานการประกันภัย ความสำคัญของการปกป้องข้อมูลขององค์กรนี้จึงมีความหมายต่อการรักษาความเสถียรของระบบการกำกับดูแลระดับชาติ

Attack Vector

ช่องโหว่ศูนย์วันที่ถูกใช้ในการโจมตีเป็นช่องโหว่ที่ยังไม่ได้รับการเปิดเผยต่อสาธารณะก่อนหน้านั้น ทำให้ผู้โจมตีสามารถส่งคำสั่งประมวลผลโดยตรงไปยังฐานข้อมูลของ PeopleSoft ได้โดยไม่ต้องผ่านขั้นตอนการตรวจสอบแบบปกติ

กลุ่ม ShinyHunters มีประวัติการใช้ช่องโหว่ศูนย์วันเพื่อทำการขโมยข้อมูลจากองค์กรหลายแห่งในช่วงสองปีที่ผ่านมา พวกเขามักจะเผยแพร่หลักฐานการเจาะระบบบนฟอรั่มลับและเรียกร้องค่าไถ่เพื่อไม่ให้ข้อมูลถูกเปิดเผยต่อสาธารณะ

ในกรณีของ NAIC ทีมวิศวกรด้านความปลอดภัยได้ยืนยันว่าการโจมตีไม่ได้ใช้เทคนิคฟิชชิงหรือมัลแวร์ที่ซับซ้อน แต่เป็นการใช้ช่องโหว่ระดับระบบที่ทำให้สามารถดึงข้อมูลได้โดยตรงจากฐานข้อมูลหลัก

Stolen Data

ข้อมูลที่ถูกขโมยออกมาจากระบบของ NAIC มีเพียงข้อมูลที่เป็นสาธารณะและไฟล์บันทึกที่ล้าสมัย ซึ่งรวมถึง

• ข้อมูลสาธารณะ เช่น ชื่อองค์กร, ที่ตั้ง, เบอร์โทรศัพท์ที่เปิดเผยต่อสาธารณะ
• **ไฟล์บันทึก (logs) ที่มีอายุหลายเดือนและไม่ได้เก็บข้อมูลส่วนบุคคลสำคัญ
• **ไฟล์กำหนดค่า (configuration files) ของระบบ PeopleSoft ที่บ่งบอกโครงสร้างเซิร์ฟเวอร์และการตั้งค่าเบื้องต้น

NAIC ย้ำว่าไม่มีข้อมูลส่วนบุคคลที่ละเอียดอ่อน เช่น หมายเลขประกันสังคม, รายละเอียดการเงินของสมาชิก หรือข้อมูลส่วนบุคคลของผู้บริโภคที่ถูกรวบรวมไว้ในระบบของพวกเขา

Response & Mitigation

หลังจากที่เหตุการณ์ถูกตรวจพบ ทีม IT ของ NAIC ได้ทำการอัปเดตแพตช์สำหรับ Oracle PeopleSoft อย่างเร่งด่วนเพื่อปิดช่องโหว่ศูนย์วัน พร้อมกับทำการสแกนระบบทั้งหมดเพื่อหาหลักฐานการเข้าถึงเพิ่มเติม

องค์กรยังได้แจ้งเหตุการณ์ต่อหน่วยงานกำกับดูแลด้านความปลอดภัยไซเบอร์ของสหรัฐอเมริกา (CISA) ตามขั้นตอนที่กำหนด และร่วมมือกับผู้ให้บริการความปลอดภัยภายนอกเพื่อทำการวิเคราะห์เชิงลึกของการโจมตี

นอกจากนี้ NAIC ยังได้ส่งประกาศให้สมาชิกขององค์กรทราบถึงความเสี่ยงที่อาจเกิดจากข้อมูลสาธารณะที่ถูกขโมยไป เพื่อลดโอกาสการใช้ข้อมูลเหล่านี้ในการทำฟิชชิงหรือการโจมตีต่อไป

Implications

แม้ว่าข้อมูลที่ถูกรวบรวมจะเป็นข้อมูลสาธารณะ แต่การที่กลุ่ม ShinyHunters สามารถเข้าถึงระบบภายในของ NAIC ได้แสดงให้เห็นถึงความเปราะบางของโครงสร้างพื้นฐานที่ใช้ PeopleSoft ในภาครัฐและองค์กรกำกับดูแล

การรั่วไหลของไฟล์กำหนดค่าอาจทำให้ผู้โจมตีอื่น ๆ สามารถสืบค้นช่องโหว่เพิ่มเติมได้ หากไม่ได้รับการตรวจสอบอย่างต่อเนื่อง การโจมตีเช่นนี้อาจเป็นจุดเริ่มต้นของการทำลายระบบที่ลึกซึ้งยิ่งขึ้นในอนาคต

ในมุมมองของอุตสาหกรรมประกันภัย ความเชื่อมั่นของผู้บริโภคต่อการจัดการข้อมูลโดยองค์กรกำกับดูแลเป็นสิ่งสำคัญ การรั่วไหลแม้จะเป็นข้อมูลสาธารณะก็ตามอาจทำให้ผู้บริโภคตั้งคำถามเกี่ยวกับมาตรการรักษาความปลอดภัยขององค์กรที่ดูแลกฎระเบียบ

Summary

NAIC เปิดเผยว่ากลุ่ม ShinyHunters ได้ขโมยข้อมูลสาธารณะและไฟล์ระบบผ่านช่องโหว่ศูนย์วันของ Oracle PeopleSoft การตอบสนองขององค์กรมุ่งเน้นการอัปเดตแพตช์และประสานงานกับหน่วยงานกำกับดูแลเพื่อบรรเทาความเสี่ยงต่อไป.