Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้ (more…)

Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้ (more…)

ช่องโหว่ใน Bootloader ของ Cisco NX-OS ส่งผลกระทบต่อสวิตช์มากกว่า 100 ตัว ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบ image signature ของระบบได้

โดย Cisco ได้ปล่อยแพตช์ความปลอดภัยสำหรับช่องโหว่ CVE-2024-20397 (คะแนน CVSS 5.2) ใน Bootloader ของซอฟต์แวร์ NX-OS ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อ bypass image signature ของระบบได้

ช่องโหว่ใน Bootloader ของ Cisco NX-OS Software อาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนซึ่งเข้าถึงระบบได้ในระดับ physical หรือผู้โจมตีในระบบที่มีสิทธิ์ระดับผู้ดูแลระบบ สามารถ bypass image signature ของระบบ NX-OS ได้

สาเหตุของช่องโหว่นี้มาจากการตั้งค่า Bootloader ที่ไม่ปลอดภัย ทำให้ผู้โจมตีสามารถใช้คำสั่ง Bootloader หลายคำสั่งเพื่อทริกเกอร์ให้เกิดช่องโหว่ได้

การโจมตีที่ประสบความสำเร็จอาจทำให้ผู้โจมตี bypass image signature ของระบบ NX-OS และโหลดซอฟต์แวร์ที่ไม่ผ่านการตรวจสอบได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อผลิตภัณฑ์ Cisco ต่อไปนี้ที่ใช้ NX-OS Software กับเวอร์ชัน BIOS ที่มีช่องโหว่ โดยไม่คำนึงถึงการตั้งค่าการใช้งาน

UCS 6500 Series Fabric Interconnects (CSCwj35846)
MDS 9000 Series Multilayer Switches (CSCwh76163)
Nexus 3000 Series Switches (CSCwm47438)
Nexus 7000 Series Switches (CSCwh76166)
Nexus 9000 Series Fabric Switches ในโหมด ACI (CSCwn11901)
Nexus 9000 Series Switches ในโหมด NX-OS แบบ Standalone (CSCwm47438)
UCS 6400 Series Fabric Interconnects (CSCwj35846)
Cisco ระบุว่า ไม่มีวิธีการอื่นในการลดผลกระทบจากช่องโหว่

บริษัท PSIRT ระบุว่า ยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่ CVE-2024-20397

โดย Cisco จะไม่แก้ไขช่องโหว่สำหรับ Nexus 92160YC-X ที่หมดระยะเวลาการสนับสนุนด้านความปลอดภัย และช่องโหว่แล้ว

ที่มา : securityaffairs 

CISA แจ้งเตือนการพบ Hacker กำลังใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Palo Alto Networks Expedition ซึ่งเป็น migration tool ที่สามารถช่วยแปลง configuration ไฟร์วอลล์จาก Checkpoint, Cisco และผู้ให้บริการรายอื่นให้สามารถใช้ได้กับ PAN-OS (more…)

Cisco ได้แก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS:3.1 10.0) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ root บน access points ของ Ultra-Reliable Wireless Backhaul (URWB) ที่มีช่องโหว่ได้ โดยเป็นการเชื่อมต่อสำหรับ wireless automation ในระบบอุตสาหกรรม (more…)

Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)

Cisco ได้เพิ่มฟีเจอร์ความปลอดภัยใหม่ที่ช่วยลดความรุนแรงของการโจมตีแบบ brute-force และ password spray บน Cisco ASA และ Firepower Threat Defense (FTD) ได้มาก ซึ่งช่วยป้องกันเครือข่ายจากการโจมตีบนระบบและลดการใช้งานทรัพยากรของอุปกรณ์ (more…)

Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

วันนี้ Cisco ยืนยันว่าได้ปิด public DevHub portal ของบริษัท หลังจากที่ผู้ไม่หวังดีได้เผยแพร่ข้อมูลที่เป็นความลับ แต่ Cisco ยังคงยืนยันว่าไม่มีหลักฐานว่าระบบของบริษัทถูกโจมตี (more…)

Cisco ได้ยืนยันกับ BleepingComputer ว่ากำลังตรวจสอบข้อกล่าวหาล่าสุดเกี่ยวกับการถูกละเมิดข้อมูล หลังจากมีผู้ไม่หวังดีเริ่มนำข้อมูลที่อ้างว่าขโมยมาไปขายในฟอรัมแฮ็ก (more…)