Cisco แจ้งเตือนช่องโหว่ RCE Zero-days ระดับ Critical ใน IP phones ที่หมดอายุการสนับสนุน

Cisco ออกมาแจ้งเตือนถึงช่องโหว่ Zero-days การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ซึ่งเป็นช่องโหว่ในอินเตอร์เฟซการจัดการผ่านเว็บของ IP phones รุ่น Small Business SPA 300 และ SPA 500 ที่หมดอายุการสนับสนุนไปแล้ว (end-of-life)

(more…)

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

(more…)

Hacker มุ่งเป้าการโจมตีไปยัง Check Point VPN เพื่อเข้าถึงเครือข่าย

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

Cisco แจ้งเตือนการโจมตีแบบ password-spraying มุ่งเป้าไปที่บริการ VPN

Cisco ออกคำแนะนำสำหรับลูกค้าเพื่อลดความเสี่ยงจากการโจมตีโดยวิธีการ password-spraying ที่กำลังมุ่งเป้าหมายไปที่บริการ Remote Access VPN (RAVPN) บนอุปกรณ์ไฟร์วอลล์ Cisco Secure (more…)

Cisco แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน communications software

Cisco แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน communications software

Cisco แจ้งเตือนว่าผลิตภัณฑ์ Unified Communications Manager (CM) และ Contact Center Solutions หลายรายการ มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยจากการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีความรุนแรงระดับ Critical (more…)

Cisco เปิดเผยอีก 1 ช่องโหว่ Zero-Day ใหม่บน IOS XE ที่อาจถูกใช้ในการฝังมัลแวร์ไปแล้วกว่า 40,000 เครื่อง

Cisco เปิดเผยการพบช่องโหว่ zero-day ระดับความรุนแรงสูง (CVE-2023-20273) ซึ่งคาดว่ากำลังถูกนำไปใช้ในการฝังมัลแวร์บนอุปกรณ์ IOS XE ที่มีช่องโหว่ ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day (CVE-2023-20198) ที่ถูกพบไปก่อนหน้านี้

โดยทาง Cisco จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ทั้ง 2 รายการนี้ในช่วงสุดสัปดาห์ โดยจะเริ่มตั้งแต่วันที่ 22 ตุลาคม 2023 ให้กับลูกค้าผ่านทางศูนย์ดาวน์โหลดซอฟต์แวร์ของ Cisco

ทั้งนี้เมื่อวันที่ 16 ตุลาคม 2023 Cisco ได้เผยแพร่รายงานการค้นพบ Hacker ใช้ช่องโหว่ zero-day (CVE-2023-20198) ในการ bypass authentication เพื่อเข้าสู่อุปกรณ์ IOS XE และสร้าง local user account ด้วยชื่อ "cisco_tac_admin" และ "cisco_support" โดยคาดว่า Hacker ได้เริ่มโจมตีมาตั้งแต่วันที่ 18 กันยายน 2023
**

CVE-2023-20273 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical ) เป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) เพื่อเข้าถึงสิทธิ์ Root และเข้าควบคุมอุปกรณ์ Cisco IOS XE ได้อย่างสมบูรณ์ รวมถึงทำการติดตั้งมัลแวร์ที่ทำให้สามารถเรียกใช้คำสั่งบนระบบได้

Censys และ LeakIX พบว่ามีอุปกรณ์ Cisco ที่ใช้ซอฟต์แวร์ IOS XE ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day 2 รายการนี้ไปแล้วกว่า 40,000 เครื่อง

โดยอุปกรณ์เครือข่ายที่ใช้ Cisco IOS XE ประกอบไปด้วย enterprise switches, access points, industrial wireless controllers และ branch routers

แม้ว่าการหาตัวเลขที่แน่นอนของจำนวนอุปกรณ์ Cisco IOS XE ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้นั้นเป็นเรื่องยาก แต่จากการค้นหาของ Shodan พบว่ามีระบบ Cisco IOS XE ที่มีช่องโหว่มากกว่า 146,000 รายการ ที่เสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ zero-day ดังกล่าว

โดย Cisco ประกาศว่าในขณะที่กำลังรอแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ดังกล่าว แนะนำให้ผู้ใช้งานปิดการใช้งานฟีเจอร์ HTTP server ที่มีช่องโหว่ บนระบบที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

รวมถึงทำการตรวจสอบอุปกรณ์ Cisco IOS XE ที่มีช่องโหว่ของตน ว่าถูกฝังมัลแวร์ไปแล้วหรือยัง โดยใช้เรียกใช้คำสั่งต่อไปนี้บนอุปกรณ์ โดยที่ "DEVICEIP" แสดงถึง IP address ที่อยู่ภายใต้การตรวจสอบ :
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Cisco แจ้งเตือนช่องโหว่ใน IOS และ IOS XE ที่อาจทำให้แฮ็กเกอร์สามารถโจมตีระบบได้

Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2

Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์

ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้

• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability

การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้

Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว

ที่มา : thehackernews

Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีโดยกลุ่ม Ransomware

Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)

Cisco แจ้งเตือนช่องโหว่ที่ทำให้ Hacker สามารถถอดรหัส traffic encryption ได้

Cisco แจ้งเตือนการพบช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ data center switch model ที่ทำให้ Hacker สามารถถอดรหัส traffic encryption ได้ (more…)

Cisco เปิดเผยช่องโหว่ XSS Zero-day ที่พบใน server management tool

Cisco เปิดเผยช่องโหว่ Zero-day ในซอฟต์แวร์ Prime Collaboration Deployment (PCD) ของบริษัท ซึ่งสามารถถูกนำมาใช้ในการโจมตีแบบ cross-site scripting

โดย utility สำหรับจัดการเซิร์ฟเวอร์นี้ช่วยให้ admin สามารถดำเนินการย้ายข้อมูล หรืออัปเกรด tasks บนเซิร์ฟเวอร์ขององค์กรได้

ช่องโหว่หมายเลข CVE-2023-20060 ในอินเทอร์เฟซ web-based การจัดการเครือข่ายของ (more…)