เราเตอร์ Cisco ที่ end-of-life กว่า 19,000 ตัว เสี่ยงต่อการถูกโจมตีแบบ RCE พบมีประเทศไทยด้วย

จากการประกาศเตือนช่องโหว่บนเราเตอร์ที่ end-of-life (EoL) ประกอบไปด้วย CVE-2023-20025 ซึ่งเป็นช่องโหว่ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ CVE-2023-2002 ซึ่งเป็นช่องโหว่ที่สามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล บนระบบปฏิบัติการของเราเตอร์ Cisco Small Business RV016, RV042, RV042G และ RV082 เมื่อสัปดาห์ก่อน ปัจจุบันทาง Censys บริษัทด้านความปลอดภัยทางไซเบอร์ ได้ตรวจสอบ และพบเราเตอร์ที่ end-of-life ที่มีช่องโหว่ และสามารถถูกเข้าถึงได้จากอินเทอร์เน็ตกว่า 19,000 ตัวเสี่ยงต่อการถูกโจมตี

การตรวจสอบ

จากการตรวจสอบของ Censys ที่ค้นหาเราเตอร์ Cisco ที่ end-of-life ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเฉพาะผ่านทาง HTTP services ที่มี model numbers ที่ได้จาก response header ของ 'WWW-Authenticate' หรือผ่านทาง HTTPS services ที่มี TLS organizational unit ที่ตรงกัน พบว่ามีประมาณ 20,000 เครื่อง ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่

โมเดล RV042 มีประมาณ 12,000 เครื่อง
โมเดล RV082 มีประมาณ 3,500 เครื่อง
โมเดล RV042 มีประมาณ 3,500 เครื่อง
โมเดล RV016 มี 784 เครื่อง

ซึ่งจากแผนภาพการแสดงแผนที่เราเตอร์ Cisco ที่ end-of-life (EoL) ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตทั้งโลกจะพบว่ามีประเทศไทยติดอยู่ในนั้นด้วย

ปัจจุบัน ทาง Cisco ยังไม่ได้ออกอัปเดตด้านความปลอดภัย และไม่มีแผนที่จะออกอัปเดตให้กับเราเตอร์ Cisco ที่ end-of-life อีกต่อไป

วิธีการป้องกัน

ปิดใช้งานอินเทอร์เฟซการจัดการบนเว็ป และบล็อกการเข้าถึงพอร์ต 443 และ 60443 บนเราเตอร์เพื่อป้องกันการโจมตีช่องโหว่ และกำหนดค่าผ่านอินเทอร์เฟซ LAN แทน

ที่มา : bleepingcomputer

พบช่องโหว่ระดับ Critical บนเราเตอร์ Small Business RV Series ของ CISCO

Cisco ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อเราเตอร์ RV Series หลายรายการ ซึ่งช่องโหว่เหล่านี้สามารถยกระดับสิทธิ์ในการเข้าถึง และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้ และมีคำเตือนถึง PoC (Proof-of-Concept) Exploit ที่ถูกปล่อยออกสู่สาธารณะ ทำให้อุปกรณ์ที่มีช่องโหว่ดังกล่าวมีความเสี่ยงมากยิ่งขึ้น

CVE-2022-20699, CVE-2022-20700 และ CVE-2022-20707 เป็น 3 ช่องโหว่จากทั้งหมด 15 รายการ มีคะแนน CVSS สูงสุดอยู่ที่ 10.0 และส่งผลกระทบต่อเราเตอร์ Small Business RV160, RV260, RV340 และ RV345 Series .

Cisco ยอมรับว่า " proof-of-concept exploit code สามารถใช้ได้กับช่องโหว่หลายจุด" แต่ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมใดๆ เกี่ยวกับลักษณะของการโจมตี หรือระบุตัวตนของกลุ่มผู้โจมตี

CVE-2022-20699 เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ทำหน้าที่เป็นเกตเวย์ SSL VPN ในการรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root

CVE-2022-20700, CVE-2022-20701 (คะแนน CVSS: 9.0) และ CVE-2022-20702 (คะแนน CVSS: 6.0) เกิดจากช่องโหว่บนระบบ Authorization ทำให้ผู้โจมตีสามารถใช้ช่องโหว่เพื่อยกระดับสิทธิ์เป็น root และรันคำสั่งได้ตามที่ต้องการบนระบบที่มีช่องโหว่

CVE-2022-20708 (คะแนน CVSS: 10.0) เกิดจากช่องโหว่การตรวจสอบข้อมูลของอินพุตที่ผู้ใช้ระบุ ทำให้ผู้โจมตีสามารถแทรกคำสั่งที่เป็นอันตรายบนระบบปฏิบัติการ Linux ได้

ช่องโหว่อื่นๆ ที่แก้ไขโดย Cisco มีดังนี้ :

CVE-2022-20703 (CVSS score: 9.3) – Cisco Small Business RV Series Routers Digital Signature Verification Bypass Vulnerability
CVE-2022-20704 (CVSS score: 4.8) – Cisco Small Business RV Series Routers SSL Certificate Validation Vulnerability
CVE-2022-20705 (CVSS score: 5.3) – Cisco Small Business RV Series Routers Improper Session Management Vulnerability
CVE-2022-20706 (CVSS score: 8.3) – Cisco RV Series Routers Open Plug and Play Command Injection Vulnerability
CVE-2022-20707 and CVE-2022-20749 (CVSS scores: 7.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Command Injection Vulnerabilities
CVE-2022-20709 (CVSS score: 5.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Upload Vulnerability
CVE-2022-20710 (CVSS score: 5.3) – Cisco Small Business RV Series Routers GUI Denial of Service Vulnerability
CVE-2022-20711 (CVSS score: 8.2) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Overwrite Vulnerability
CVE-2022-20712 (CVSS score: 7.3) – Cisco Small Business RV Series Routers Upload Module Remote Code Execution Vulnerability

Cisco แจ้งว่าไม่มีวิธีอื่น หรือ Workarounds ในการแก้ไขช่องโหว่ดังกล่าว และแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews

Cisco ออกแพทช์แก้ไขช่องโหว่ สามารถถูกนำไปใช้รันคำสั่งอันตรายด้วยสิทธิ์ root

ช่องโหว่ถูกพบในซอฟต์แวร์ SD-WAN vManage (CVE-2021-1479) เวอร์ชั่น 20.4 และก่อนหน้านั้น เป็น pre-authentication นั่นหมายความว่าสามารถรันคำสั่งอันตราย (RCE) ได้โดยไม่จำเป็นที่จะต้องพิสูจน์ตัวตนก่อน มีความรุนแรงระดับสูงมาก (9.8/10) สามารถโจมตีได้ด้วยการส่ง request ที่ถูกดัดแปลงไปยังอุปกรณ์ที่มีช่องโหว่จากระยะไกล ทำให้เกิด buffer overflow นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอื่นๆ อีก 2 รายการ คือ CVE-2021-1137 ในส่วนของ user management และ CVE-2021-1480 ในส่วนของ system file transfer ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้ การแพทช์สามารถทำได้ด้วยการอัพเดตเป็นเวอร์ชั่นล่าสุด ได้แก่ 19.2 ไปเป็น 19.2.4, 20.3 ไปเป็น 20.3.3, 20.4 ไปเป็น 20.4.1 และเวอร์ชั่นอื่นๆ ก่อนหน้า อาทิเช่น 18.4 และก่อนหน้า, 19.3 และ 20.1 ให้อัพเดตเป็นเวอร์ชั่นอื่นที่ใหม่กว่านั้น จากนั้นจึงค่อยทำการอัพเดตเป็นเวอร์ชั่นล่าสุด

นอกเหนือจากนี้ยังการเปิดเผยช่องโหว่อื่นๆ อาทิเช่น CVE-2021-1459 ช่องโหว่ RCE ในส่วน interface ของเว็ปเพจสำหรับอุปกรณ์ Cisco Small Business RV110W, RV130, RV130W และ RV215W router ซึ่งช่องโหว่นี้จะไม่ได้รับการแก้ไขแล้ว เนื่องจากอุปกรณ์เป็น end-of-life ไปแล้ว และมีการแก้ไขช่องโหว่ RCE แบบไม่ต้องพิสูจน์ตัวตนในซอฟต์แวร์ของผลิตภัณฑ์ Cisco SD-WAN (CVE-2021-1300) ที่ถูกพบในเดือนมกราคมที่ผ่านมา รวมถึงช่องโหว่ของ SD-WAN อื่นๆ อีก 2 รายการที่ถูกพบเมื่อเดือนกรกฎาคมปีที่แล้ว

ที่มา: bleepingcomputer