Cisco ออกคำแนะนำสำหรับลูกค้าเพื่อลดความเสี่ยงจากการโจมตีโดยวิธีการ password-spraying ที่กำลังมุ่งเป้าหมายไปที่บริการ Remote Access VPN (RAVPN) บนอุปกรณ์ไฟร์วอลล์ Cisco Secure (more…)

Cisco แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน communications software

Cisco แจ้งเตือนว่าผลิตภัณฑ์ Unified Communications Manager (CM) และ Contact Center Solutions หลายรายการ มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยจากการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีความรุนแรงระดับ Critical (more…)

Cisco เปิดเผยการพบช่องโหว่ zero-day ระดับความรุนแรงสูง (CVE-2023-20273) ซึ่งคาดว่ากำลังถูกนำไปใช้ในการฝังมัลแวร์บนอุปกรณ์ IOS XE ที่มีช่องโหว่ ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day (CVE-2023-20198) ที่ถูกพบไปก่อนหน้านี้

โดยทาง Cisco จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ทั้ง 2 รายการนี้ในช่วงสุดสัปดาห์ โดยจะเริ่มตั้งแต่วันที่ 22 ตุลาคม 2023 ให้กับลูกค้าผ่านทางศูนย์ดาวน์โหลดซอฟต์แวร์ของ Cisco

ทั้งนี้เมื่อวันที่ 16 ตุลาคม 2023 Cisco ได้เผยแพร่รายงานการค้นพบ Hacker ใช้ช่องโหว่ zero-day (CVE-2023-20198) ในการ bypass authentication เพื่อเข้าสู่อุปกรณ์ IOS XE และสร้าง local user account ด้วยชื่อ "cisco_tac_admin" และ "cisco_support" โดยคาดว่า Hacker ได้เริ่มโจมตีมาตั้งแต่วันที่ 18 กันยายน 2023
**

CVE-2023-20273 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical ) เป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) เพื่อเข้าถึงสิทธิ์ Root และเข้าควบคุมอุปกรณ์ Cisco IOS XE ได้อย่างสมบูรณ์ รวมถึงทำการติดตั้งมัลแวร์ที่ทำให้สามารถเรียกใช้คำสั่งบนระบบได้

Censys และ LeakIX พบว่ามีอุปกรณ์ Cisco ที่ใช้ซอฟต์แวร์ IOS XE ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day 2 รายการนี้ไปแล้วกว่า 40,000 เครื่อง

โดยอุปกรณ์เครือข่ายที่ใช้ Cisco IOS XE ประกอบไปด้วย enterprise switches, access points, industrial wireless controllers และ branch routers

แม้ว่าการหาตัวเลขที่แน่นอนของจำนวนอุปกรณ์ Cisco IOS XE ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้นั้นเป็นเรื่องยาก แต่จากการค้นหาของ Shodan พบว่ามีระบบ Cisco IOS XE ที่มีช่องโหว่มากกว่า 146,000 รายการ ที่เสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ zero-day ดังกล่าว

โดย Cisco ประกาศว่าในขณะที่กำลังรอแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ดังกล่าว แนะนำให้ผู้ใช้งานปิดการใช้งานฟีเจอร์ HTTP server ที่มีช่องโหว่ บนระบบที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

รวมถึงทำการตรวจสอบอุปกรณ์ Cisco IOS XE ที่มีช่องโหว่ของตน ว่าถูกฝังมัลแวร์ไปแล้วหรือยัง โดยใช้เรียกใช้คำสั่งต่อไปนี้บนอุปกรณ์ โดยที่ "DEVICEIP" แสดงถึง IP address ที่อยู่ภายใต้การตรวจสอบ :
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2

Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์

ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้

• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability

การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้

Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว

ที่มา : thehackernews

Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)

Cisco แจ้งเตือนการพบช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ data center switch model ที่ทำให้ Hacker สามารถถอดรหัส traffic encryption ได้ (more…)

Cisco เปิดเผยช่องโหว่ Zero-day ในซอฟต์แวร์ Prime Collaboration Deployment (PCD) ของบริษัท ซึ่งสามารถถูกนำมาใช้ในการโจมตีแบบ cross-site scripting

โดย utility สำหรับจัดการเซิร์ฟเวอร์นี้ช่วยให้ admin สามารถดำเนินการย้ายข้อมูล หรืออัปเกรด tasks บนเซิร์ฟเวอร์ขององค์กรได้

ช่องโหว่หมายเลข CVE-2023-20060 ในอินเทอร์เฟซ web-based การจัดการเครือข่ายของ (more…)

Cisco ได้ออกแพตช์อัปเดตสำหรับช่องโหว่ DoS ที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2023-20049 (คะแนน CVSS 8.6) ในซอฟต์แวร์ IOS XR ซึ่งส่งผลกระทบต่อ Enterprise Routers หลายรุ่น

ช่องโหว่ดังกล่าวอยู่ในฟีเจอร์ hardware offload ใน bidirectional forwarding detection (BFD) ของซอฟต์แวร์ Cisco IOS XR สำหรับเราเตอร์ Cisco ASR 9000 Series Aggregation Services, ASR 9902 Compact High-Performance Routers และ ASR 9903 Compact High-Performance Routers

โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถโจมตีจากภายนอกได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน (unauthenticated attackers) เพื่อทำการรีเซ็ต line card ส่งผลให้เกิดการปฏิเสธการให้บริการ (denial of service (DoS)) โดยการส่งแพ็คเก็ต IPv4 BFD ที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่นี้เกิดจากการจัดการที่ไม่เหมาะสมกับแพ็กเก็ต BFD ที่มีรูปแบบไม่ถูกต้อง บน line card ที่มีการเปิดใช้งานฟีเจอร์ BFD hardware offload

โดยช่องโหว่นี้ส่งผลกระทบเฉพาะ ASR 9000 Series Aggregation Services Routers ที่ติดตั้ง line card แบบ Lightspeed หรือ Lightspeed-Plus และ Compact High-Performance Routers รุ่น ASR 9902 และ ASR 9903

Cisco แนะนำวิธีแก้ปัญหาเบื้องต้นโดยให้ปิดการใช้งาน BFD hardware offload ด้วยการลบคำสั่งการเปิดใช้งานโมดูล hw bfw-hw-offload ทั้งหมดและรีเซ็ต line card

ซึ่งแพตช์อัปเดตสำหรับช่องโหว่นี้รวมอยู่ในซอฟต์แวร์ IOS XR เวอร์ชัน 7.5.3, 7.6.2 และ 7.7.1

 

ที่มา : securityaffairs, securityweek

Cisco ได้ประกาศแพตซ์อัปเดตช่องโหว่ระดับ critical ที่ถูกพบใน Web UI ของ IP phone หลายรุ่น ซึ่งส่งผลให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

โดยช่องโหว่มีหมายเลข CVE-2023-20078 ซึ่งเป็นช่องโหว่ที่สามารถแทรกคำสั่งที่เป็นอันตรายไปยังระบบ รวมถึงสามารถยกระดับสิทธิเป็น Root ภายหลังจากที่สามารถโจมตีสำเร็จ

โดย Cisco ยังได้ประกาศช่องโหว่ที่มีหมายเลข CVE-2023-20079 ซึ่งเป็นช่องโหว่ที่สามารถใช้ในการทำ Denial-of-Service (DoS) ได้

ซึ่งช่องโหว่ทั้งสองรายการทำให้เกิดข้อผิดพลาดในการตรวจสอบสิทธิ ทำให้สามารถถูกโจมตีด้วย request ที่เป็นอันตรายที่ถูกส่งไปยัง web-based management interface ของเป้าหมาย

ช่องโหว่ดังกล่าวถูกค้นพบ โดย Zack Sanchez จาก Cisco Advanced Security Initiatives Group (ASIG) ระหว่างการทดสอบความปลอดภัยของระบบภายใน

จากการตรวจสอบของทีม Product Security Incident Response Team (PSIRT) ยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว

อุปกรณ์ที่ได้รับผลกระทบ

รายการอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ มีดังนี้

Cisco IP Phone 6800, 7800 และ 8800 series ที่มีเฟิร์มแวร์หลายแพลตฟอร์ม (เสี่ยงต่อการโจมตีทั้ง RCE และ DoS)
Cisco Unified IP Conference Phone 8831
Cisco Unified IP Conference Phone 8831 Multiplatform Firmware
Cisco Unified IP Phone 7900 Series (เสี่ยงต่อการโจมตี DoS)

โดย Cisco จะออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20078 แต่จะไม่ออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20079 เนื่องจาก Cisco Unified IP Phone 7900 Series และ Cisco Unified IP Conference Phone 8831 เป็นอุปกรณ์ที่สิ้นสุดอายุการใช้งานแล้ว (end-of-life)

 

ที่มา : bleepingcomputer

จากการประกาศเตือนช่องโหว่บนเราเตอร์ที่ end-of-life (EoL) ประกอบไปด้วย CVE-2023-20025 ซึ่งเป็นช่องโหว่ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ CVE-2023-2002 ซึ่งเป็นช่องโหว่ที่สามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล บนระบบปฏิบัติการของเราเตอร์ Cisco Small Business RV016, RV042, RV042G และ RV082 เมื่อสัปดาห์ก่อน ปัจจุบันทาง Censys บริษัทด้านความปลอดภัยทางไซเบอร์ ได้ตรวจสอบ และพบเราเตอร์ที่ end-of-life ที่มีช่องโหว่ และสามารถถูกเข้าถึงได้จากอินเทอร์เน็ตกว่า 19,000 ตัวเสี่ยงต่อการถูกโจมตี

การตรวจสอบ

จากการตรวจสอบของ Censys ที่ค้นหาเราเตอร์ Cisco ที่ end-of-life ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเฉพาะผ่านทาง HTTP services ที่มี model numbers ที่ได้จาก response header ของ 'WWW-Authenticate' หรือผ่านทาง HTTPS services ที่มี TLS organizational unit ที่ตรงกัน พบว่ามีประมาณ 20,000 เครื่อง ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่

โมเดล RV042 มีประมาณ 12,000 เครื่อง
โมเดล RV082 มีประมาณ 3,500 เครื่อง
โมเดล RV042 มีประมาณ 3,500 เครื่อง
โมเดล RV016 มี 784 เครื่อง

ซึ่งจากแผนภาพการแสดงแผนที่เราเตอร์ Cisco ที่ end-of-life (EoL) ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตทั้งโลกจะพบว่ามีประเทศไทยติดอยู่ในนั้นด้วย

ปัจจุบัน ทาง Cisco ยังไม่ได้ออกอัปเดตด้านความปลอดภัย และไม่มีแผนที่จะออกอัปเดตให้กับเราเตอร์ Cisco ที่ end-of-life อีกต่อไป

วิธีการป้องกัน

ปิดใช้งานอินเทอร์เฟซการจัดการบนเว็ป และบล็อกการเข้าถึงพอร์ต 443 และ 60443 บนเราเตอร์เพื่อป้องกันการโจมตีช่องโหว่ และกำหนดค่าผ่านอินเทอร์เฟซ LAN แทน

ที่มา : bleepingcomputer