นักวิจัยพบว่าจำนวนอุปกรณ์ Cisco IOS XE ที่ถูกโจมตี โดย backdoor ได้ลดลงอย่างลึกลับ โดยพบว่าอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่มากกว่า 50,000 เครื่อง ได้ลดลงเหลือเพียงไม่กี่ร้อยเครื่อง โดยนักวิจัยยังไม่สามารถบอกได้ว่าอะไรเป็นสาเหตุของการลดลงอย่างรวดเร็วนี้

โดยในเดือนตุลาคม 2023 ทาง Cisco ได้แจ้งเตือนการพบ Hacker ได้ใช้ช่องโหว่ Zero-day สองช่องโหว่ได้แก่ CVE-2023-20198 และ CVE-2023-20273 ในการโจมตีอุปกรณ์ Cisco IOS XE มากกว่า 50,000 เครื่องเพื่อสร้าง privileged user accounts และติดตั้ง LUA backdoor ที่เป็นอันตรายบนเครื่องที่ถูกโจมตี ซึ่งการฝัง LUA backdoor ไปในระบบทำให้ Hacker สามารถเรียกใช้คำสั่งจากระยะไกล ด้วยสิทธิ์ privilege level 15 ซึ่งเป็นระดับสิทธิ์สูงสุดบนอุปกรณ์

แต่การฝัง LUA backdoor ไว้ในเครื่อง ไม่สามารถทำให้ LUA อยู่ตลอดไปได้ เนื่องจากการรีบูตจะทำให้ backdoor ถูกลบออกไป แต่อย่างไรก็ตาม privileged user accounts ที่ถูกสร้างขึ้นในการโจมตีจะยังคงอยู่

นับตั้งแต่มีการเปิดเผยช่องโหว่ Zero-day บริษัท และนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่าอุปกรณ์ Cisco ISO XE ประมาณ 60,000 เครื่องจากทั้งหมด 80,000 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตถูกโจมตีไปแล้วด้วยช่องโหว่ดังกล่าว

การลดลงอย่างแปลกประหลาดของ Cisco IOS XE ที่ถูกโจมตี

ในวันที่ 21 ตุลาคม 2023 บริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่งรายงานว่าจำนวนอุปกรณ์ Cisco IOS XE ที่มีการฝัง backdoor จากช่องโหว่ ได้ลดลงอย่างอย่างแปลกประหลาดจากที่พบประมาณ 60,000 เครื่อง ลดเหลือเพียง 100-1,200 เครื่อง โดยขึ้นอยู่กับพฤติกรรมการสแกนที่แตกต่างกัน

Patrice Auffret ผู้ก่อตั้ง และ CTO ของ Onyphe ให้ข้อมูลกับ BleepingComputer ว่า เขาเชื่อว่า Hacker ที่อยู่เบื้องหลังการโจมตีกำลังทำการอัปเดตบางอย่าง เพื่อซ่อนการโจมตี ส่งผลให้ไม่เห็นพฤติกรรมของการติดมัลแวร์ในการสแกนอีกต่อไป

"เป็นวันที่สองติดต่อกันแล้ว ที่พบว่าจำนวนเครื่องที่มีการติดมัลแวร์ลดลงอย่างมากในช่วงเวลาสั้น ๆ โดยอาจจะเกิดจากการรีบูต (เนื่องจากพบว่าก่อนหน้านี้การรีบูตจะทำให้ backdoor ถูกลบออกไป) หรือมัลแวร์อาจได้รับการปรับปรุงแล้ว แต่พวกเขาเชื่อว่าเป็นการกระทำจากผู้โจมตีที่พยายามแก้ไขปัญหาที่ไม่ควรเกิดขึ้นตั้งแต่แรก ที่เครื่องที่มีการติดมัลแวร์นั้นตรวจพบได้ง่ายจากการสแกน ซึ่งคาดว่าเป็นความผิดพลาดจากฝั่งของผู้โจมตีเอง ทำให้ปัจจุบันผู้โจมตีอาจมีการอัปเดตเพื่อซ่อนสถานะการติดมัลแวร์มากกว่า”

สอดคล้องกับ Piotr Kijewski CEO ของ The Shadowserver Foundation ที่ให้ข้อมูลกับ BleepingComputer ว่า พบว่าเครื่องที่ถูกโจมตีจากช่องโหว่ได้ลดลงอย่างมากนับตั้งแต่วันที่ 21 ตุลาคม 2023 โดยการสแกนพบอุปกรณ์เพียง 107 เครื่องที่ถูกโจมตีจากช่องโหว่ ซึ่งเป็นไปได้ว่าอุปกรณ์ที่ถูกโจมตีจะถูกลบมัลแวร์ออก หรือได้รับการอัปเดตเช่นเดียวกัน

รวมไปถึงยังมีอีกทฤษฎีหนึ่งก็คือ Grey-Hat Hacker กำลังรีบูตอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีเพื่อลบมัลแวร์ในอุปกรณ์โดยอัตโนมัติ โดยแคมเปญที่คล้ายกันเคยเกิดขึ้นในปี 2018 เมื่อ Hacker ได้อ้างว่าได้ทำการอัปเดต MikroTik routers กว่า 100,000 ตัว เพื่อให้ไม่สามารถถูกนำไปใช้ในการโจมตีแบบ cryptojacking และ DDoS ได้

แต่อย่างไรก็ตาม Orange Cyberdefense CERT ได้ให้ข้อมูลกับ BleepingComputer ว่า พวกเขาไม่เชื่อว่า Grey-Hat Hacker จะเป็นผู้อยู่เบื้องหลังการลดจำนวนของเครื่องที่ถูกโจมตีในครั้งนี้ แต่นี่อาจเป็นการแก้ไข และเริ่มทำการโจมตีครั้งใหม่ หรือซ่อนเป้าหมายจากการโจมตีที่แท้จริง

โดย Orange Cyberdefense CERT ได้แจ้งเตือนให้ผู้ดูและระบบดำเนินการตรวจสอบเพื่อให้แน่ใจว่าไม่มีการเพิ่มชื่อผู้ใช้ที่เป็นอันตราย และไม่ได้ถูกแก้ไข Configuration ถึงแม้ว่าจะทำการปิดการใช้งาน WebUI ของ Cisco IOS XE แล้วก็ตาม

เช่นเดียวกับ Daniel Card นักวิจัยด้านความปลอดภัยที่คาดว่า อุปกรณ์จำนวนมากที่ถูกโจมตีด้วยช่องโหว่นั้นเป็นเพียงตัวล่อเพื่อซ่อนเป้าหมายที่แท้จริงในการโจมตี
ซึ่งขณะนี้ยังไม่มีหลักฐาน หรือข้อมูลเพิ่มเติมจากนักวิจัย และ Cisco ที่จะสามารถตรวจสอบอุปกรณ์ Cisco IOS XE ที่ถูกโจมตีก่อนหน้านี้ เพื่อดูว่าอุปกรณ์ดังกล่าวเพิ่งทำการรีบูต หรือมีการเปลี่ยนแปลงใหม่หรือไม่

อัปเดต 23/10/23

บริษัทรักษาความปลอดภัยทางไซเบอร์ Fox-IT อธิบายว่าสาเหตุของการลดลงอย่างกะทันหันของการติดมัลแวร์ที่ตรวจพบนั้นเกิดจากการที่ผู้โจมตีอัปเดตแบ็คดอร์เวอร์ชันใหม่บนอุปกรณ์ Cisco IOS XE

โดยจากข้อมูลของ Fox-IT มัลแวร์เวอร์ชันใหม่จะตรวจสอบ Authorization HTTP header ก่อนที่จะมีการตอบสนอง อ้างอิงจาก LinkedIn post เนื่องจากวิธีการสแกนก่อนหน้านี้ไม่ได้ใช้ Authorization header จึงไม่มีการตอบสนองจากเครื่องที่ติดมัลแวร์ ทำให้ดูเหมือนว่ามันถูกลบออกไปแล้ว

Cisco Talos ยืนยันการเปลี่ยนแปลงในคำแนะนำที่อัปเดต 1, 2 ซึ่งแชร์คำสั่ง curl ใหม่ที่สามารถตรวจจับการติดมัลแวร์บนอุปกรณ์ Cisco ISO XE โดยคำสั่งนี้เหมือนกับวิธีที่แชร์ก่อนหน้า แต่ตอนนี้มีส่วน 'Authorization' header เพื่อทำให้อุปกรณ์ที่ติดมัลแวร์ตอบสนองต่อ Request
curl -k -H "Authorization: 0ff4fbf0ecffa77ce8d3852a29263e263838e9bb" -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

 

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ 34 รายการในซอฟต์แวร์ Cisco IOS และ Cisco IOS XE

Cisco ได้เปิดตัวแพตช์ความปลอดภัยสำหรับช่องโหว่ที่มีความรุนแรงสูง 34 รายการ ซึ่งช่องโหว่จะส่งผลกระทบต่อซอฟต์แวร์ Cisco IOS และ Cisco IOS XE ที่อยู่ในผลิตภัณฑ์ Firewall, Wireless Access Point, Switch ของ Cisco โดยช่องโหว่ที่มีสำคัญมีรายละเอียดดังนี้

CVE-2020-3141 และ CVE-2020-3425 (CVSS: 8.8/10) เป็นช่องโหว่ประเภท Privilege Escalation ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการรับรองความถูกต้องและมีสิทธิ์แบบ read-only สามารถยกระดับสิทธิ์ขึ้นเป็นระดับผู้ใช้ผู้ดูแลระบบบนอุปกรณ์ที่ได้รับผลกระทบ
CVE-2020-3400 (CVSS: 8.8/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ได้รับการพิสูจน์ตัวคนใช้ประโยชน์จากส่วนต่างๆ ของ Web UI โดยไม่ได้รับอนุญาต โดยผู้โจมตีสามารถใช้ประโยชน์จากการส่ง HTTP request ที่ถูกสร้างมาเป็นพิเศษไปยัง Web UI เมื่อการใช้ช่องโหว่ประสบความสำเร็จผู้โจมตีสามารถดำเนินการบน Web UI ได้เช่นเดียวกับผู้ดูแลระบบ
CVE-2020-3421 และ CVE-2020-3480 (CVSS: 8.6/10) ช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ทำให้อุปกรณ์รีโหลดข้อมูลหรือหยุดส่งการรับส่งข้อมูลผ่านไฟร์วอลล์ ซึ่งอาจจะทำให้เกิดการปฏิเสธการให้บริการ (DoS) บนอุปกรณ์
Cisco ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการอัปเดตเเพตซ์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ทั้งนี้ผู้ที่สนใจรายละเอียดการอัปเดตเเพตซ์เพิ่มเติมสามารถดูได้จากเเหล่งที่มา

ที่มา: tools.