Cisco ได้ออกประกาศแจ้งเตือนถึงช่องโหว่ระดับ Critical ที่อาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) ได้ ใน RADIUS subsystem ของซอฟต์แวร์ Secure Firewall Management Center (FMC)
Cisco FMC เป็นแพลตฟอร์มการจัดการสำหรับผลิตภัณฑ์ Secure Firewall ของ Cisco ซึ่งทำหน้าที่เป็นอินเทอร์เฟซส่วนกลางผ่านเว็บ หรือ SSH เพื่อให้ผู้ดูแลระบบสามารถกำหนดค่า, ตรวจสอบ และอัปเดตไฟร์วอลล์ของ Cisco ได้
สำหรับ RADIUS ใน FMC เป็นวิธีการยืนยันตัวตนภายนอกแบบ optional ที่อนุญาตให้เชื่อมต่อไปยังเซิร์ฟเวอร์ Remote Authentication Dial-In User Service (RADIUS) แทนการใช้บัญชีของผู้ใช้ที่อยู่ภายในเครื่อง (local accounts)
การกำหนดค่าลักษณะนี้มักถูกใช้งานในเครือข่ายขององค์กร และหน่วยงานภาครัฐ ที่ผู้ดูแลระบบต้องการควบคุมการเข้าสู่ระบบ และการเก็บข้อมูลการเข้าถึงอุปกรณ์เครือข่ายจากส่วนกลาง
ช่องโหว่ที่เพิ่งถูกเปิดเผยนี้มีหมายเลข CVE-2025-20265 และได้รับคะแนนความรุนแรงสูงสุดที่ 10 เต็ม 10
ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่นี้ได้ โดยส่งข้อมูลที่ถูกสร้างขึ้นมาเป็นพิเศษในระหว่างขั้นตอนการป้อนข้อมูล Credentials ในการยืนยันตัวตนผ่าน RADIUS
ด้วยเหตุนี้ ผู้โจมตีจึงสามารถเรียกใช้ shell command ใด ๆ ก็ได้ด้วยสิทธิ์ระดับสูง
Cisco ระบุในประกาศการแจ้งเตือนว่า "ช่องโหว่ในการใช้งาน RADIUS subsystem ของซอฟต์แวร์ Cisco Secure Firewall Management Center (FMC) อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ผ่านการยืนยันตัวตนสามารถแทรก shell commands ใด ๆ ก็ได้ เพื่อให้ตัวอุปกรณ์ทำงานตามคำสั่งนั้นได้"
Cisco ระบุว่า "ช่องโหว่ดังกล่าวเกิดจากการจัดการข้อมูลของผู้ใช้ที่กรอกเข้ามาอย่างไม่ถูกต้องในระหว่างขั้นตอนการยืนยันตัวตน" โดยช่องโหว่ CVE-2025-20265 ส่งผลกระทบต่อ FMC เวอร์ชัน 7.0.7 และ 7.7.0 เมื่อมีการเปิดใช้งานการยืนยันตัวตนผ่าน RADIUS สำหรับอินเทอร์เฟซการจัดการผ่านเว็บ, การจัดการผ่าน SSH หรือทั้งสองอย่าง
Cisco ได้ออกอัปเดตซอฟต์แวร์เพื่อแก้ไขช่องโหว่นี้แล้ว โดยการอัปเดตจะถูกเผยแพร่ผ่านช่องทางปกติให้กับลูกค้าที่มีสัญญาบริการตามปกติ
หากไม่สามารถติดตั้งแพตช์ได้ Cisco แนะนำวิธีการลดความเสี่ยงจากผลกระทบคือ ให้ปิดการใช้งานการยืนยันตัวตนผ่าน RADIUS และเปลี่ยนไปใช้วิธีอื่นแทน (เช่น local user accounts, การเชื่อมต่อกับ LDAP ภายนอก หรือ SAML Single Sign-On)
Cisco ระบุว่า วิธีการลดความเสี่ยงนี้ได้ผลในการทดสอบ แต่ลูกค้าจะต้องตรวจสอบความเหมาะสม และผลกระทบที่อาจเกิดขึ้นกับระบบของตนเองด้วย
ช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของ Cisco ที่ชื่อ Brandon Sakai และทาง Cisco ระบุว่ายังไม่พบหลักฐานว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตีจริง
นอกจากช่องโหว่ CVE-2025-20265 แล้ว Cisco ยังได้ออกแพตช์แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงอีก 13 รายการในผลิตภัณฑ์ต่าง ๆ โดยช่องโหว่ทั้งหมดนี้ยังไม่มีรายงานว่าถูกนำไปใช้ในการโจมตีจริงด้วยเช่นกัน
- CVE-2025-20217 - ช่องโหว่ DoS ใน Secure Firewall Threat Defense Snort 3
- CVE-2025-20222 - ช่องโหว่ DoS ใน IPv6 over IPsec บน ASA และ Secure FTD (Firepower 2100)
- CVE-2025-20148 - ช่องโหว่ HTML injection ใน Secure Firewall Management Center
- CVE-2025-20244 - ช่องโหว่ DoS ใน VPN web server จากการเข้าถึงระยะไกลบน ASA และ Secure FTD
- CVE-2025-20133, CVE-2025-20243 - ช่องโหว่ DoS ใน Remote Access SSL VPN บน ASA และ Secure FTD
- CVE-2025-20134 - ช่องโหว่ DoS ใน SSL/TLS certificate บน ASA และ Secure FTD
- CVE-2025-20136 - ช่องโหว่ DoS ใน FTD NAT DNS inspection บน ASA และ Secure FTD
- CVE-2025-20251 - ช่องโหว่ DoS ใน VPN web server บน ASA และ Secure FTD
- CVE-2025-20224, CVE-2025-20225 - ช่องโหว่ DoS ในโปรโตคอล IKEv2 บน IOS, IOS XE, ASA และ Secure FTD
- CVE-2025-20263 - ช่องโหว่ DoS ใน Web Services บน ASA และ Secure FTD
- CVE-2025-20127 - ช่องโหว่ DoS ใน TLS 1.3 cipher บน ASA และ Secure FTD (รุ่น Firepower 3100/4200)
Cisco ระบุว่าไม่มีวิธีแก้ไขปัญหาชั่วคราวสำหรับช่องโหว่ด้านความปลอดภัยข้างต้น ยกเว้นช่องโหว่ CVE-2025-20127 ที่มีคำแนะนำให้ลบการใช้งาน TLS 1.3 cipher ออก
สำหรับช่องโหว่อื่น ๆ ทั้งหมด ทาง Cisco แนะนำให้ติดตั้งอัปเดตเวอร์ชันล่าสุดที่ทางบริษัทได้เผยแพร่ออกไปแล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.