ช่องโหว่ F5 BIG-IP
F5 ได้ออกประกาศเผยแพร่ช่องโหว่ระดับความรุนแรงสูง ที่ส่งผลกระทบต่ออุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) จากการเรียกใช้งานคำสั่งจากระยะไกล
โดยช่องโหว่มีหมายเลข CVE-2023-22374 (คะแนน CVSS: 7.5/8.5 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่เกิดจากอินเทอร์เฟซ iControl Simple Object Access Protocol ( SOAP) เนื่องจากอินเทอร์เฟซ iCONtrol SOAP ทำงานในสิทธิ Root เมื่อ Hacker โจมตีสำเร็จก็จะได้สิทธิ Root ไปด้วย ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้
ซึ่งการโจมตีเกิดขึ้นโดยการแทรกอักขระสตริงรูปแบบใดก็ได้ลงในพารามิเตอร์การค้นหาที่ส่งผ่านไปยัง syslog โดยช่องโหว่ดังกล่าวถูกค้นพบ และรายงานช่องโหว่จากบริษัท Rapid7 เมื่อวันที่ 6 ธันวาคม 2022
F5 BIG-IP version ที่ได้รับผลกระทบ
- version 13.1.5
- version 14.1.4.6 - 14.1.5
- version 15.1.5.1 - 15.1.8
- version 16.1.2.2 - 16.1.3 และ 17.0.0
การป้องกัน
- จำกัดการเข้าถึง iControl SOAP API ไว้เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น
ช่องโหว่ Command Injection ใน Cisco IOx
Cisco ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่บน application hosting environment บน Cisco IOx ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล รวมไปถึงเรียกใช้งานเพย์โหลดที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ และ backdoor
CVE-2023-20076 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่โหว่บน application hosting environment ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลด้วยสิทธิ Root บน host operating system
Trellix บริษัทด้านความปลอดภัยทางไซเบอร์ เป็นผู้ที่ค้นพบช่องโหว่ดังกล่าว รวมถึงได้ทำการวิเคราะห์ และพบว่า ช่องโหว่ CVE-2023-20076 สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย ด้วยไฟล์ TAR archive extraction ซึ่งอาจอนุญาตให้เขียนใน host operating system ด้วยสิทธิ Root และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตราย ในการติดตั้ง backdoor บนเครื่องที่ถูกโจมตี รวมไปถึงสามารถที่จะฝังตัวอยู่ในระบบ (Persistence) ถึงแม้จะมีการรีบูตระบบ และการอัปเกรดเฟิร์มแวร์ก็ตาม ซึ่งจะลบออกได้หลังจากรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเท่านั้น
ถึงแม้ว่าในการโจมตีช่องโหว่ดังกล่าว จำเป็นต้องได้รับการพิสูจน์ตัวตน และมีสิทธิ์ของผู้ดูแลระบบ แต่ Hacker ก็มีหลากหลายวิธีที่จะเพิ่มระดับสิทธิ์บนระบบได้ เช่น phishing หรือการทำ social engineering เพื่อขโมยข้อมูลจากเหยื่อที่เป็นเป้าหมาย
ปัจจุบันทาง Cisco ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่ดังกล่าวแล้ว
อุปกรณ์ Cisco ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE และเปิดใช้งานคุณสมบัติ Cisco IOx
- Cisco 800 Series Industrial ISRs
- Cisco Catalyst Access Points
- Cisco CGR1000 Compute Modules
- Cisco IC3000 Industrial Compute Gateways
- Cisco IR510 WPAN Industrial Routers
การป้องกัน
- ผู้ดูแลระบบควรเร่งอัปเดตเพื่อปิดช่องโหว่โดยด่วน
ที่มา : thehackernews
You must be logged in to post a comment.