Cisco ออกประกาศแจ้งเตือนลูกค้าในวันที่ 17 ธันวาคม 2025 เกี่ยวกับช่องโหว่ Zero-day บนระบบปฏิบัติการ Cisco AsyncOS ที่มีความรุนแรงระดับสูงสุด และยังไม่มีแพตช์แก้ไข ซึ่งปัจจุบันกำลังถูกนำไปใช้ในการโจมตีอุปกรณ์ Secure Email Gateway (SEG) และ Secure Email and Web Manager (SEWM) อย่างต่อเนื่อง
ช่องโหว่ Zero-day ที่ยังรอการแก้ไข (CVE-2025-20393) ส่งผลกระทบเฉพาะอุปกรณ์ Cisco SEG และ Cisco SEWM ที่มีการตั้งค่าที่ไม่เป็นไปตามมาตรฐานเท่านั้น โดยเฉพาะในกรณีที่มีการเปิดใช้งานฟีเจอร์ Spam Quarantine และเปิดให้เข้าถึงได้จากภายนอก
Cisco Talos ซึ่งเป็นทีมวิจัยด้าน threat intelligence ของบริษัทเชื่อว่า กลุ่มแฮ็กเกอร์จากจีนที่ถูกติดตามในชื่อ UAT-9686 อยู่เบื้องหลังการโจมตีที่ใช้ช่องโหว่นี้ในการเรียกใช้คำสั่งตามที่ต้องการด้วยสิทธิ์ root และมีการติดตั้งมัลแวร์หลายชนิด เช่น AquaShell (แบ็คดอร์เพื่อสร้างช่องทางการเข้าถึงระบบ), AquaTunnel และ Chisel (มัลแวร์สำหรับสร้าง Reverse SSH Tunnel) รวมถึงเครื่องมือลบประวัติการใช้งานที่ชื่อว่า AquaPurge ทั้งนี้ สามารถตรวจสอบ IoC ได้จาก hxxps[:]//github[.]com/Cisco-Talos/IOCs/tree/main/2025/12
AquaTunnel และเครื่องมือที่เป็นอันตรายอื่น ๆ ที่ใช้ในการโจมตีเหล่านี้ เคยถูกเชื่อมโยงกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน เช่น UNC5174 และ APT41
Cisco Talos ระบุในประกาศคำแนะนำเมื่อวันพุธที่ผ่านมาว่า บริษัทมั่นใจว่าผู้โจมตีในชื่อ UAT-9686 ซึ่งเป็นกลุ่ม APT ที่มีความเชื่อมโยงกับจีน รวมถึงมีการใช้เครื่องมือ และโครงสร้างพื้นฐานในการโจมตีที่มีความสอดคล้องกับกลุ่มผู้โจมตีอื่น ๆ ของจีน
ในส่วนหนึ่งของกิจกรรมการโจมตีนี้กลุ่ม UAT-9686 ได้ติดตั้ง Persistence mechanism ที่มีการปรับแต่งในชื่อ AquaShell พร้อมกับเครื่องมือที่ออกแบบมาเพื่อการทำ Reverse Tunneling และการลบ Log เพื่อปกปิดร่องรอย
แม้ว่าบริษัทจะตรวจพบการโจมตีเหล่านี้เมื่อวันที่ 10 ธันวาคม แต่แคมเปญดังกล่าวได้เริ่มขึ้นอย่างน้อยตั้งแต่ปลายเดือนพฤศจิกายน 2025 แล้ว
ควรจำกัดการเข้าถึงอุปกรณ์ที่มีความเสี่ยง
แม้ว่า Cisco ยังไม่ได้ปล่อยอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day นี้ แต่ทางบริษัทได้แนะนำให้ผู้ดูแลระบบรีบดำเนินการจำกัดการเข้าถึงอุปกรณ์ที่มีความเสี่ยง โดยรวมถึงจำกัดการเข้าถึงจากอินเทอร์เน็ต, จำกัดการเชื่อมต่อกับโฮสต์ที่เชื่อถือได้เท่านั้น และการวางอุปกรณ์ไว้หลังไฟร์วอลล์ เพื่อตรวจสอบทราฟฟิก
ผู้ดูแลระบบควรแยกฟังก์ชันการจัดการอีเมล และการบริหารจัดการระบบออกจากกัน รวมถึงตรวจสอบ Log ของเว็บเพื่อค้นหากิจกรรมที่ผิดปกติ และเก็บรักษา Log เหล่านั้นไว้เพื่อใช้ในการตรวจสอบย้อนหลัง
นอกจากนี้ ยังแนะนำให้ปิดใช้งานบริการที่ไม่จำเป็น ดำเนินการอัปเดตระบบ Cisco AsyncOS ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ, ใช้ระบบยืนยันตัวตนที่มีความปลอดภัยสูง เช่น SAML หรือ LDAP และเปลี่ยนรหัสผ่านเริ่มต้น รวมไปถึงใช้ certificates ในรูปแบบ SSL หรือ TLS เพื่อเพิ่มความปลอดภัยให้กับข้อมูลในส่วนของการบริหารจัดการระบบ
Cisco ขอให้ลูกค้าที่ต้องการตรวจสอบว่าอุปกรณ์ของตนเองถูกโจมตีไปแล้วหรือไม่ ให้ดำเนินการเปิดเคสแจ้งขอความช่วยเหลือไปยังศูนย์ช่วยเหลือทางเทคนิคของ Cisco (TAC) และขอแนะนำให้ปฏิบัติตามคำแนะนำในส่วน Recommendations ของประกาศความปลอดภัย
Cisco เตือนว่า หากพบว่าอุปกรณ์มีการเปิดหน้า Web Management Interface หรือเปิดพอร์ต Spam Quarantine ทิ้งไว้จนสามารถเข้าถึงได้จากอินเทอร์เน็ต Cisco ขอแนะนำให้ปฏิบัติตาม Multi-step process เพื่อคืนค่าอุปกรณ์กลับสู่การตั้งค่าที่ปลอดภัยหากสามารถทำได้
ในกรณีที่ไม่สามารถคืนค่าอุปกรณ์ได้ Cisco แนะนำให้ติดต่อ TAC เพื่อตรวจสอบว่าอุปกรณ์ถูกโจมตีไปแล้วหรือไม่ และหากยืนยันได้ว่ามีการโจมตีเกิดขึ้นจริง ควรดำเนินการลบข้อมูลทั้งหมด และติดตั้งระบบใหม่ ซึ่งคือทางเลือกเดียวที่ใช้ได้ผลในขณะนี้ เพื่อกำจัด Persistence mechanism ของผู้โจมตีออกจากอุปกรณ์
ที่มา : bleepingcomputer
You must be logged in to post a comment.