Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้
ช่องโหว่นี้มีหมายเลข CVE-2025-20156 และมีคะแนน CVSS 9.9 เต็ม 10.0 ซึ่งถือว่าเป็นช่องโหว่การยกระดับสิทธิ์ใน REST API ของ Cisco Meeting Management
Cisco ระบุว่า “ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการ enforced authorization ที่เหมาะสมสำหรับผู้ใช้ REST API ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง API request ไปยัง specific endpoint”
หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีได้รับสิทธิ์ในระดับผู้ดูแลระบบ และจะสามารถควบคุม edge nodes ที่ managed โดย Cisco Meeting Management ได้
Cisco ให้เครดิตแก่ Ben Leonard-Lagarde จาก Modux เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชั่นของผลิตภัณฑ์ดังต่อไปนี้ :
- Cisco Meeting Management เวอร์ชัน 3.9 (ได้รับการแก้ไขแล้วในเวอร์ชั่น 3.9.1)
- Cisco Meeting Management เวอร์ชัน 3.8 และเวอร์ชันก่อนหน้า (ควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไข)
- Cisco Meeting Management เวอร์ชัน 3.10 (ไม่ได้รับผลกระทบ)
Cisco ยังได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ BroadWorks ซึ่งเกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมสำหรับ Session Initiation Protocol (SIP) requests บางประเภท (CVE-2025-20165, คะแนน CVSS: 7.5) โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน RI.2024.11
Cisco ระบุว่า “ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง SIP requests จำนวนมากไปยังระบบที่ได้รับผลกระทบ”
"หากการโจมตีประสบความสำเร็จ อาจทำให้ผู้โจมตีสามารถใช้หน่วยความจำที่จัดสรรให้กับ Cisco BroadWorks Network Servers จัดการกับ SIP traffic จนหมด หากหน่วยความจำไม่เพียงพอ Network Servers จะไม่สามารถประมวลผล requests ขาเข้าได้อีก ส่งผลให้เกิดการ DoS ที่ต้องเข้าไปแก้ไขด้วยตนเองเพื่อที่จะสามารถกู้คืนระบบให้กลับมาใช้งานได้อีกครั้ง"
ช่องโหว่อีกรายการที่ Cisco ได้แก้ไขคือ CVE-2025-20128 (คะแนน CVSS: 5.3) ซึ่งเป็น bug ของ integer underflow ที่ส่งผลกระทบต่อกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ใน ClamAV และอาจนำไปสู่การโจมตีแบบ DoS ได้
Cisco ได้ให้เครดิตกับ Google OSS-Fuzz สำหรับการรายงานช่องโหว่นี้ และระบุว่าทราบถึงการมีโค้ดการโจมตี (Proof-of-concept - PoC) ถูกปล่อยออกสู่สาธารณะ แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานจริงก็ตาม
CISA และ FBI เปิดเผยรายละเอียดเกี่ยวกับวิธีการโจมตีของ Ivanti
ในขณะที่มีข่าวเรื่องช่องโหว่ของ Cisco รัฐบาลสหรัฐฯ CISA และ FBI ได้ออกมาเปิดเผยรายละเอียดทางเทคนิค และวิธีการโจมตีที่แฮ็กเกอร์ใช้ในการโจมตีระบบคลาวด์ของ Ivanti เมื่อเดือนกันยายน 2024 ที่ผ่านมา
ช่องโหว่ที่เกี่ยวข้องมีดังต่อไปนี้ :
- CVE-2024-8963, ช่องโหว่แบบ Administrative bypass
- CVE-2024-9379, ช่องโหว่แบบ SQL injection
- CVE-2024-8190 และ CVE-2024-9380 ช่องโหว่แบบ Remote code execution ทั้ง 2 รายการ
จากรายงานของ CISA และ FBI วิธีการโจมตีมี 2 แบบ แบบแรกใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 และ CVE-2024-9380 ส่วนแบบที่สองใช้ CVE-2024-8963 ร่วมกับ CVE-2024-9379
Fortinet FortiGuard Labs ได้เปิดเผยวิธีการโจมตีแบบแรกเมื่อเดือนตุลาคม 2024 ที่ผ่านมา เชื่อว่าผู้โจมตีได้พยายามเจาะเข้าไปยังส่วนอื่น ๆ ของระบบหลังจากที่สามารถเข้าถึงระบบเบื้องต้นได้สำเร็จ
สำหรับการโจมตีแบบที่สอง พบว่าผู้โจมตีใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-9379 เพื่อเข้าถึงเครือข่ายเป้าหมาย หลังจากนั้นก็พยายามติดตั้ง web shells เพื่อเข้าควบคุมระบบอย่างต่อเนื่อง แต่ไม่สำเร็จ
ทาง CISA และ FBI ยังระบุอีกว่า “ผู้โจมตีใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบเบื้องต้น หลังจากนั้นจะดำเนินการเรียกใช้โค้ดที่เป็นอันตรายระยะไกล (RCE), ขโมยข้อมูล credentials และติดตั้ง web shells บนเครือข่ายของเหยื่อ ส่วนข้อมูล Credentials และ Sensitive data ที่ถูกจัดเก็บไว้ในอุปกรณ์ Ivanti ที่โดนโจมตี ให้คาดว่าถูกขโมยไปแล้ว”
ที่มา : thehackernews
You must be logged in to post a comment.