SSH Key ของ Cisco Umbrella อาจทำให้ผู้โจมตีสามารถขโมย Credential ของผู้ดูแลระบบได้

Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงใน Cisco Umbrella Virtual Appliance (VA) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ดูแลระบบได้จากระยะไกล

Fraser Hess จาก Pinnacol Assurance พบช่องโหว่ (หมายเลข CVE-2022-20773) ในกลไกการพิสูจน์ตัวตน SSH แบบใช้คีย์ของ Cisco Umbrella VA

Cisco Umbrella ให้บริการด้านความปลอดภัยบนคลาวด์ กับองค์กรกว่า 24,000 แห่ง ในการรักษาความปลอดภัย DNS ต่อการโจมตีจากฟิชชิ่ง มัลแวร์ และแรนซัมแวร์ โดยการตั้งเครื่อง virtual machine ไว้ภายในองค์กรเพื่อช่วยในการทำ DNS Forwarders ที่จะบันทึก เข้ารหัส และรับรองความถูกต้องของข้อมูล DNS

ช่องโหว่นี้เกิดจาก static SSH host key ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ด้วยการโจมตีแบบ man-in-the-middle ในการเชื่อมต่อระหว่าง SSH กับ Umbrella VA" Cisco กล่าว

หากโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึง credentials ของผู้ดูแลระบบ เปลี่ยนค่าคอนฟิค หรือ reload VA ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Umbrella VA สำหรับ Hyper-V และ VMWare ESXi เวอร์ชันก่อนหน้า 3.3.2

(more…)

พบช่องโหว่ระดับ Critical บนเราเตอร์ Small Business RV Series ของ CISCO

Cisco ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อเราเตอร์ RV Series หลายรายการ ซึ่งช่องโหว่เหล่านี้สามารถยกระดับสิทธิ์ในการเข้าถึง และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้ และมีคำเตือนถึง PoC (Proof-of-Concept) Exploit ที่ถูกปล่อยออกสู่สาธารณะ ทำให้อุปกรณ์ที่มีช่องโหว่ดังกล่าวมีความเสี่ยงมากยิ่งขึ้น

CVE-2022-20699, CVE-2022-20700 และ CVE-2022-20707 เป็น 3 ช่องโหว่จากทั้งหมด 15 รายการ มีคะแนน CVSS สูงสุดอยู่ที่ 10.0 และส่งผลกระทบต่อเราเตอร์ Small Business RV160, RV260, RV340 และ RV345 Series .

Cisco ยอมรับว่า " proof-of-concept exploit code สามารถใช้ได้กับช่องโหว่หลายจุด" แต่ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมใดๆ เกี่ยวกับลักษณะของการโจมตี หรือระบุตัวตนของกลุ่มผู้โจมตี

CVE-2022-20699 เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ทำหน้าที่เป็นเกตเวย์ SSL VPN ในการรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root

CVE-2022-20700, CVE-2022-20701 (คะแนน CVSS: 9.0) และ CVE-2022-20702 (คะแนน CVSS: 6.0) เกิดจากช่องโหว่บนระบบ Authorization ทำให้ผู้โจมตีสามารถใช้ช่องโหว่เพื่อยกระดับสิทธิ์เป็น root และรันคำสั่งได้ตามที่ต้องการบนระบบที่มีช่องโหว่

CVE-2022-20708 (คะแนน CVSS: 10.0) เกิดจากช่องโหว่การตรวจสอบข้อมูลของอินพุตที่ผู้ใช้ระบุ ทำให้ผู้โจมตีสามารถแทรกคำสั่งที่เป็นอันตรายบนระบบปฏิบัติการ Linux ได้

ช่องโหว่อื่นๆ ที่แก้ไขโดย Cisco มีดังนี้ :

CVE-2022-20703 (CVSS score: 9.3) – Cisco Small Business RV Series Routers Digital Signature Verification Bypass Vulnerability
CVE-2022-20704 (CVSS score: 4.8) – Cisco Small Business RV Series Routers SSL Certificate Validation Vulnerability
CVE-2022-20705 (CVSS score: 5.3) – Cisco Small Business RV Series Routers Improper Session Management Vulnerability
CVE-2022-20706 (CVSS score: 8.3) – Cisco RV Series Routers Open Plug and Play Command Injection Vulnerability
CVE-2022-20707 and CVE-2022-20749 (CVSS scores: 7.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Command Injection Vulnerabilities
CVE-2022-20709 (CVSS score: 5.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Upload Vulnerability
CVE-2022-20710 (CVSS score: 5.3) – Cisco Small Business RV Series Routers GUI Denial of Service Vulnerability
CVE-2022-20711 (CVSS score: 8.2) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Overwrite Vulnerability
CVE-2022-20712 (CVSS score: 7.3) – Cisco Small Business RV Series Routers Upload Module Remote Code Execution Vulnerability

Cisco แจ้งว่าไม่มีวิธีอื่น หรือ Workarounds ในการแก้ไขช่องโหว่ดังกล่าว และแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews

Cisco ออกอัปเดตซอฟต์แวร์แก้ไขช่องโหว่ที่สำคัญในการตรวจสอบสิทธิ์การเข้าถึง

Cisco ออกอัปเดตซอฟต์แวร์เร่งด่วนเพื่อแก้ไขช่องโหว่ที่สำคัญในการตรวจสอบสิทธิ์การเข้าถึง ส่งผลให้ผู้โจมตีสามารถโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ และลงชื่อเข้าใช้อุปกรณ์ที่มีช่องโหว่ในฐานะผู้ดูแลระบบได้

ช่องโหว่ดังกล่าวถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-34746 และได้รับคะแนน CVSS 9.8 ส่งผลกระทบกับ โปรโตคอลการรับรองความถูกต้อง TACACS+, การตรวจสอบสิทธิ์ (authorization) และกระบวนการเก็บบันทึกข้อมูล (accounting) ของซอฟต์แวร์ Cisco Enterprise NFV Infrastructure

ซึ่งช่องโหว่นี้เกิดจาก user-supplied input ตรวจสอบข้อมูลที่กรอกไม่สมบูรณ์ และทำการส่งผ่านไปยังสคริปต์การตรวจสอบความถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยใส่พารามิเตอร์ลงในคำขอตรวจสอบสิทธิ์ได้

ซอฟต์แวร์ Cisco Enterprise NFV Infrastructure ช่วยให้ลูกค้าสามารถปรับใช้งานฟังก์ชัน Virtual Network ให้ได้รับการจัดการโดยอิสระ นอกจากนี้ NFVIS ยังช่วยในการจำลองบริการเครือข่ายสาขาของ Cisco เช่น Integrated Services Virtual Router, virtual WAN optimization, Virtual ASA, virtual Wireless LAN Controller

ช่องโหว่ดังกล่าวถูกค้นพบโดย Cyrille Chatras นักวิจัยด้านความปลอดภัยจาก Orange Group ซึ่งส่งผลต่อ Cisco Enterprise NFVIS 4.5.1 หาก TACACS มีการกำหนดค่าวิธีการตรวจสอบสิทธิ์จากภายนอก
ซึ่งการระบุว่า TACACS มีการเปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ผู้ใช้จำเป็นต้องใช้คำสั่ง show running-config tacacs-server ในการตรวจสอบ หากผลลัพธ์ของคำสั่ง show running-config tacacs-server คือ No entries found หมายความว่าไม่ได้เปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์

หรือสามารถตรวจสอบผ่าน GUI โดยตรวจสอบการกำหนดค่าผ่าน GUI ดังนี้
Choose Configuration > Host > Security > User and Roles

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกาได้ออกประกาศเร่งด่วนไปยังผู้ใช้และผู้ดูแลระบบเพื่อขอให้ตรวจสอบคำแนะนำของ Cisco และทำการอัปเดตที่จำเป็น

ที่มา: bankinfosecurity.

CISCO ได้มีการอัพเดทระบบความปลอดภัย และพบว่าช่องโหว่ในระบบ

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

Cisco ออกแพทช์แก้ไขช่องโหว่ สามารถถูกนำไปใช้รันคำสั่งอันตรายด้วยสิทธิ์ root

ช่องโหว่ถูกพบในซอฟต์แวร์ SD-WAN vManage (CVE-2021-1479) เวอร์ชั่น 20.4 และก่อนหน้านั้น เป็น pre-authentication นั่นหมายความว่าสามารถรันคำสั่งอันตราย (RCE) ได้โดยไม่จำเป็นที่จะต้องพิสูจน์ตัวตนก่อน มีความรุนแรงระดับสูงมาก (9.8/10) สามารถโจมตีได้ด้วยการส่ง request ที่ถูกดัดแปลงไปยังอุปกรณ์ที่มีช่องโหว่จากระยะไกล ทำให้เกิด buffer overflow นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอื่นๆ อีก 2 รายการ คือ CVE-2021-1137 ในส่วนของ user management และ CVE-2021-1480 ในส่วนของ system file transfer ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้ การแพทช์สามารถทำได้ด้วยการอัพเดตเป็นเวอร์ชั่นล่าสุด ได้แก่ 19.2 ไปเป็น 19.2.4, 20.3 ไปเป็น 20.3.3, 20.4 ไปเป็น 20.4.1 และเวอร์ชั่นอื่นๆ ก่อนหน้า อาทิเช่น 18.4 และก่อนหน้า, 19.3 และ 20.1 ให้อัพเดตเป็นเวอร์ชั่นอื่นที่ใหม่กว่านั้น จากนั้นจึงค่อยทำการอัพเดตเป็นเวอร์ชั่นล่าสุด

นอกเหนือจากนี้ยังการเปิดเผยช่องโหว่อื่นๆ อาทิเช่น CVE-2021-1459 ช่องโหว่ RCE ในส่วน interface ของเว็ปเพจสำหรับอุปกรณ์ Cisco Small Business RV110W, RV130, RV130W และ RV215W router ซึ่งช่องโหว่นี้จะไม่ได้รับการแก้ไขแล้ว เนื่องจากอุปกรณ์เป็น end-of-life ไปแล้ว และมีการแก้ไขช่องโหว่ RCE แบบไม่ต้องพิสูจน์ตัวตนในซอฟต์แวร์ของผลิตภัณฑ์ Cisco SD-WAN (CVE-2021-1300) ที่ถูกพบในเดือนมกราคมที่ผ่านมา รวมถึงช่องโหว่ของ SD-WAN อื่นๆ อีก 2 รายการที่ถูกพบเมื่อเดือนกรกฎาคมปีที่แล้ว

ที่มา: bleepingcomputer

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco ที่อาจถูกโจมตี DoS ด้วยช่องโหว่ใน Snort Detection Engine

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco จากการถูกโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service - DoS) เนื่องจากมีช่องโหว่ในเครื่องมือ Snort Detection Engine

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1285 มีระดับความรุนแรง CVSS อยู่ที่ 7.4/10 ช่องโหว่ถูกพบใน Ethernet Frame Decoder ของ Snort Detection Engine โดยช่องโหว่เกิดจากการจัดการเงื่อนไขของ Error condition ที่ไม่เหมาะสมเมื่อทำการประมวลผล Ethernet frame ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งแพ็กเกต Ethernet frame ที่สร้างขึ้นเป็นพิเศษและเป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบเพื่อทำให้อุปกรณ์เข้าสู่เงื่อนไข DoS

ช่องโหว่จะส่งผลกระทบต่อ Integrated Service Router (ISR) ซอฟต์แวร์และแพลตฟอร์ม Catalyst Edge และผลิตภัณฑ์ Cloud Services Router ซีรี่ส์ 1000v หากอุปกรณ์ที่กล่าวมาใช้ซอฟต์แวร์ Cisco UTD Snort IPS Engine สำหรับ IOS XE หรือ Cisco UTD Engine สำหรับ IOS XE SD-WAN และได้รับการกำหนดค่าให้ส่ง Ethernet frameไปยัง Snort Detection Engine

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพช์ให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ที่เกิดขึ้นและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: securityweek, cisco

Cisco ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงใน Cisco ACI Multi-Site Orchestrator

Cisco ได้ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงสุด ถูกพบใน API Endpoint ของ Cisco ACI Multi-Site Orchestrator (MSO) ที่ติดตั้งบน Application Services Engine โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

 

ช่องโหว่แรกถูกติดตามด้วยรหัส CVE-2021-1388 มีคะแนน CVSS อยู่ที่ 10/10 เป็นช่องโหว่ถูกพบใน API Endpoint ของ Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องอาจข้ามการพิสูจน์ตัวตน (Authentication Bypass) บนอุปกรณ์ที่ได้รับผลกระทบ โดยการส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเข้ามายังอุปกรณ์ที่เป็นเป้าหมาย เพื่อทำให้ได้รับ Token การตรวจสอบสิทธิ์พร้อมสิทธิ์ระดับผู้ดูแลระบบ ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อเวอร์ชัน Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine เท่านั้น

 

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2021-1393 เป็นช่องโหว่ถูกพบใน Cisco Application Services Engine โดยช่องโหว่สามารถอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงบริการพิเศษบนอุปกรณ์ที่ได้รับผลกระทบ เพื่อเรียกใช้คอนเทนเนอร์หรือเรียกใช้คำสั่งระดับโฮสต์ได้

 

ทั้งนี้ Cisco ยังได้เเก้ไขช่องโหว่เพิ่มเติมอีกห้ารายการที่ส่งผลกระทบต่อซอฟต์แวร์ Cisco FXOS, ซอฟต์แวร์ Cisco NX-OS และซอฟต์แวร์ Cisco UCS โดยช่องโหว่มีการจัดอันดับความรุนแรง CVSS อยู่ที่ 8.1 - 9.8/10 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดโดยเร็วเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

 

ที่มา: bleepingcomputer

Cisco แจ้งเตือนช่องโหว่ Remote Code Execution ระดับวิกฤติกับโซลูชัน VPN หลายรายการ

Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Cisco เปิดตัวแพตช์แก้ไขช่องโหว่ RCE ใน Cisco Security Manager

Cisco ได้เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Cisco Security Manager (CSM) เวอร์ชัน 4.22 และรุ่นก่อนหน้า ที่ถูกใช้ใน Cisco ASA appliances, Cisco Catalyst 6000 Series Switches, Integrated Services Routers (ISRs), และ Firewall Services modules หลังจาก Florian Hauser นักวิจัยด้านความปลอดภัยจาก Code White ได้เปิดเผย PoC ของช่องโหว่ต่อสาธารณะในเดือนพฤศจิกายนที่ผ่านมา

ช่องโหว่ทั้ง 12 รายการถูกติดตามด้วยรหัส CVE-2020-27131 โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันโค้ดได้จากระยะไกลได้ ซึ่งช่องโหว่ยังสามารถทำให้ผู้โจมตีสามารถสร้างคำขอที่เป็นอันตรายตลอดจนอัปโหลดและดาวน์โหลดไฟล์ได้โดยไม่ได้รับอนุญาตในนามของบัญชีผู้ใช้ที่มีสิทธิ์สูงสุด "NT AUTHORITY\SYSTEM"

ทีม Cisco Product Security Incident Response Team (PSIRT) กล่าวว่าในขณะที่ทำการแก้ไขช่องโหว่นี้ เป็นความโชคดีที่ยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ทั้งนี้ Cisco ได้ทำการแก้ไขช่องโหว่เหล่านี้แล้วใน Cisco Security Manager เวอร์ชัน 4.22 Service Pack 1 ผู้ดูแลระบบควรรีบทำการอัปเดตและติดตั้งเเพตช์ เพื่อเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | securityaffairs