เมือเดือนพฤษภาคม 2025 Cisco และ Cybersecurity and Infrastructure Security Agency (CISA) ตรวจพบการโจมตีด้วยช่องโหว่ Zero-Days บนอุปกรณ์ Adaptive Security Appliance (ASA) 5500-X Series ของหน่วยงานรัฐบาลสหรัฐอเมริกา โดยเป็นช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) เพื่อติดตั้ง Malware บนอุปกรณ์ และขโมยข้อมูลออกจากอุปกรณ์ที่โดนโจมตี ในบางกรณีผู้โจมตีได้มีการแก้ไข ROMMON เพื่อให้ยังสามารถเข้าถึงอุปกรณ์แม้มีการ Reboot หรืออัปเดต Software แล้ว
อุปกรณ์ที่ได้รับผลกระทบ
Cisco ASA 5500-X Series ที่ใช้งาน Cisco ASA Software เวอร์ชัน 9.12 หรือ 9.14 และเปิดใช้งาน VPN web services
- 5512-X และ 5515-X
- 5525-X, 5545-X, และ 5555-X
- 5585-X
ตรวจสอบการโจมตีบนอุปกรณ์ (Compromise Assessment)
หากอุปกรณ์อยู่ในรายการที่ได้รับผลกระทบให้ทำการตรวจสอบการโจมตีดังนี้
1. Checkheaps Manipulation
ผู้โจมตีจะมีการปิดใช้งาน checkheaps function ที่ปกติแล้วจะทำงานทุกๆ 1 นาที ให้ใช้คำสั่ง show checkheaps แล้วรอประมาณ 5 นาทีใช้คำสั่งนี้อีกครั้งเพื่อตรวจสอบหาการเปลี่ยนแปลงของค่า "Total number of runs" หากไม่มีการเปลียนแปลงหมายความว่าอุปกรณ์นี้ถูกโจมตีแล้ว
2. ตรวจสอบ Malware
ใช้คำสั่งด้านล่างเพื่อตรวจสอบ Malware หากพบผลลัพธ์จากคำสั่งหมายความว่าอุปกรณ์นี้อาจถูกติดตั้ง Malware โดยผู้โจมตีแล้ว
3. Impossible Travel
ตรวจสอบว่าผู้โจมตีมีการขโมยรหัสผ่าน VPN ออกไปหรือไม่ หากพบการ Login จากต่างประเทศ หรือจากผู้ใช้งานเดียวกัน Login จากหลาย IP ในเวลาใกล้ ๆ กันจาก Location ที่ไม่น่าเป็นไปได้ในการเดินทางในระยะเวลาสั้น ๆ
4. ตรวจสอบการแก้ไข Bootloader หรือ ROMMON
หลังจากที่อัปเดต Software เป็นเวอร์ชัน 9.12.4.72 หรือ 9.14.4.28 ให้ตรวจสอบไฟล์ firmware_update.log ที่ disk0:
หากพบข้อความ "Bootloader verification failed at address" หรือ "ROMMON verification failed at address" หมายความว่าอุปกรณ์นี้อาจถูกโจมตีไปแล้ว
วิธีการแก้ไข
ตัวเลือกที่ 1: Upgrade (แนะนำ, แก้ปัญหาระยะยาว)
อัปเกรด Software เป็นเวอร์ชันล่าสุดที่มีการแก้ไขช่องโหว่
ตัวเลือกที่ 2: แก้ไขปัญหาชั่วคราวโดยการปิด SSL/TLS-based VPN web services
- ปิด IKEv2 Client Services
ใช้คำสั่ง crypto ikev2 enable <interface_name> ที่ global configuration mode ทุก ๆ interface ที่มีการใช้งาน IKEv2 client services
ตัวอย่างคำสั่ง:
- ปิด SSL VPN Services
ใช้คำสั่ง no webvpn ใน global configuration mode
ตัวอย่างคำสั่ง:
รายการช่องโหว่
Fixed Releases
อ้างอิง
You must be logged in to post a comment.