รัฐบาลออสเตรเลียกำลังออกคำเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังเกิดขึ้นอย่างต่อเนื่องกับอุปกรณ์ Cisco IOS XE ที่ยังไม่ได้ทำการอัปเดตแพตช์ภายในประเทศ ซึ่งอาจทำให้เราเตอร์ติด BadCandy webshell

ช่องโหว่ที่ถูกใช้ในการโจมตีเหล่านี้คือ CVE-2023-20198 ซึ่งเป็นช่องโหว่ระดับความรุนแรงสูงสุด ที่ช่วยให้ผู้โจมตีจากภายนอกซึ่งไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถสร้างบัญชีผู้ดูแลระบบผ่านทางเว็บอินเทอร์เฟซ และเข้าควบคุมอุปกรณ์ได้

Cisco ได้แก้ไขช่องโหว่นี้ไปเมื่อเดือนตุลาคม 2023 ซึ่งในขณะนั้นถูกจัดว่าเป็นช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่อง สองสัปดาห์ต่อมาได้มีการเผยแพร่ public exploit ออกมา ซึ่งยิ่งกระตุ้นให้เกิดการโจมตีเป็นวงกว้างเพื่อฝังแบ็คดอร์บนอุปกรณ์ที่เข้าถึงได้จากอินเทอร์เน็ต

ทางการออสเตรเลียเตือนว่า BadCandy web shells ในรูปแบบต่าง ๆ ยังคงถูกใช้ในการโจมตีตลอดปี 2024 และ 2025 ซึ่งแสดงให้เห็นว่าอุปกรณ์ Cisco จำนวนมากยังคงไม่ได้รับการอัปเดตแพตช์

เมื่อติดตั้งแล้ว BadCandy จะทำให้ผู้โจมตีสามารถสั่งการคำสั่งด้วยสิทธิ์ root บนอุปกรณ์ที่ถูกเจาะได้

Web shells จะถูกลบออกจากอุปกรณ์เมื่อมีการรีบูท อย่างไรก็ตาม เนื่องจากอุปกรณ์เหล่านั้นยังไม่ได้อัปเดตแพตช์ และหากยังสามารถเข้าถึงเว็บอินเทอร์เฟซได้ ผู้โจมตีจะสามารถนำ Web shells กลับมาใช้งานได้อีกครั้ง

ประกาศเตือนระบุว่า "ตั้งแต่เดือนกรกฎาคม 2025 ASD ประเมินว่ามีอุปกรณ์มากกว่า 400 เครื่องในออสเตรเลียที่อาจถูกเจาะด้วย BADCANDY" "ณ ปลายเดือนตุลาคม 2025 ยังคงมีอุปกรณ์มากกว่า 150 เครื่องในออสเตรเลียที่ถูกเจาะด้วย BADCANDY"

แม้ว่าจำนวนการติดมัลแวร์จะลดลง แต่หน่วยงานก็ได้เห็นสัญญาณของการโจมตีซ้ำโดยใช้ช่องโหว่เดิมกับอุปกรณ์เดิม แม้ว่าหน่วยงานที่ถูกเจาะระบบจะได้รับแจ้งเตือนอย่างเหมาะสมแล้วก็ตาม

ตามข้อมูลของหน่วยงาน ผู้โจมตีสามารถตรวจจับได้เมื่ออุปกรณ์ที่ถูกฝัง BadCandy ถูกลบออก และจะมุ่งเป้าไปที่อุปกรณ์เดิมเพื่อติดตั้ง BadCandy อีกครั้ง

เพื่อตอบสนองต่อการโจมตีที่กำลังดำเนินอยู่นี้ สำนักข่าวกรองกลางออสเตรเลีย (ASD) กำลังส่งการแจ้งเตือนไปยังเหยื่อ ซึ่งรวมถึงคำแนะนำเกี่ยวกับการอัปเดตแพตช์, การเสริมความแข็งแกร่งให้อุปกรณ์ และการดำเนินการตอบสนองต่อเหตุการณ์ สำหรับอุปกรณ์ที่ไม่สามารถระบุตัวตนเจ้าของได้ ASD ได้ขอให้ผู้ให้บริการอินเทอร์เน็ต ติดต่อเหยื่อเพื่อแจ้งเตือนพวกเขา

ASD ระบุว่า ช่องโหว่นี้เคยถูกใช้โจมตีโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ เช่น 'Salt Typhoon' จากจีน ซึ่งถือเป็นผู้รับผิดชอบต่อการโจมตีหลายครั้งที่มุ่งเป้าไปที่ผู้ให้บริการโทรคมนาคมรายใหญ่ทั่วสหรัฐอเมริกา และแคนาดา

หน่วยงานเชื่อว่า แม้ว่าตามทฤษฎีแล้ว BadCandy จะถูกนำไปใช้โดยใครก็ได้ แต่การโจมตีที่พุ่งสูงขึ้นในช่วงนี้สามารถเชื่อมโยงได้กับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐฯ

ผู้ดูแลระบบ Cisco IOS XE ทั่วโลก รวมถึงในออสเตรเลีย ควรปฏิบัติตามคำแนะนำในการลดความเสี่ยง ของผู้ผลิตในแถลงการณ์ด้านความปลอดภัย

Cisco ยังได้เผยแพร่คู่มือการเสริมความแข็งแกร่งอย่างละเอียดสำหรับอุปกรณ์ IOS XE ด้วย

ที่มา : bleepingcomputer

ผู้ไม่หวังดีได้ใช้การโจมตีจากช่องโหว่ CVE-2025-20352 ซึ่งเป็นช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) และช่องโหว่ดังกล่าวเพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้ในอุปกรณ์เครือข่ายของ Cisco เพื่อทำการติดตั้ง rootkit และมุ่งเป้า (more…)

Cisco ออกคำเตือนลูกค้าให้รีบอัปเดตแพตช์สำหรับ ช่องโหว่ Zero-Days จำนวน 2 รายการ ที่กำลังถูกใช้ในการโจมตีจริง และส่งผลกระทบต่อ Firewall ของบริษัท (more…)

มีการสแกนเครือข่ายในวงกว้างที่มุ่งเป้าไปยังอุปกรณ์ Cisco ASA ทำให้นักวิจัยด้านความปลอดภัยทางไซเบอร์ออกมาเตือนว่า อาจเป็นสัญญาณบ่งชี้ถึงช่องโหว่ใหม่ที่กำลังจะถูกเปิดเผยในผลิตภัณฑ์ดังกล่าว

(more…)

Cisco ได้ออกประกาศแจ้งเตือนถึงช่องโหว่ระดับ Critical ที่อาจทำให้ผู้ไม่หวังดีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (Remote Code Execution - RCE) ได้ ใน RADIUS subsystem ของซอฟต์แวร์ Secure Firewall Management Center (FMC)

(more…)

Cisco เปิดเผยว่า อาชญากรไซเบอร์ได้ขโมยข้อมูลโปรไฟล์พื้นฐานของผู้ใช้งานที่ลงทะเบียนบน Cisco.com หลังจากเกิดการโจมตีแบบฟิชชิงผ่านเสียง (vishing) ซึ่งมุ่งเป้าไปที่ตัวแทนของบริษัท

ตั้งแต่วันที่ 24 กรกฎาคมที่ผ่านมา บริษัทผู้ผลิตอุปกรณ์เครือข่ายชั้นนำ หรือ Cisco ได้เปิดเผยว่า ตรวจพบการโจมตีที่เกิดจากการหลอกลวงพนักงาน ทำให้ผู้โจมตีสามารถเข้าถึงระบบ Customer Relationship Management (CRM) บนคลาวด์ ซึ่งให้บริการโดยบริษัทภายนอกที่ Cisco ใช้งานอยู่ (more…)

Cisco ออกคำเตือนช่องโหว่ระดับ Critical 3 รายการใน Cisco Identity Services Engine (ISE) ที่เพิ่งได้รับการแก้ไขเมื่อเร็ว ๆ นี้ และกำลังถูกนำไปใช้ประโยชน์ในการโจมตีอย่างต่อเนื่อง

แม้ว่าทาง Cisco จะไม่ได้ระบุว่าช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตีอย่างไร และประสบความสำเร็จหรือไม่ แต่การอัปเดตด้านความปลอดภัยโดยเร็วที่สุดถือเป็นสิ่งสำคัญอย่างยิ่ง (more…)

Cisco ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูงสุด 2 รายการใน Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งใด ๆ ด้วยสิทธิ์ Root ได้

ช่องโหว่เหล่านี้มีหมายเลข CVE-2025-20281 และ CVE-2025-20282 โดยแต่ละช่องโหว่มีคะแนน CVSS สูงสุดที่ 10.0 ซึ่งบ่งบอกถึงความรุนแรงระดับสูงสุด รายละเอียดของช่องโหว่มีดังนี้ (more…)

Cisco ออกแพตช์แก้ไขซอฟต์แวร์เพื่อจัดการกับช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสุดใน IOS XE Wireless Controller ที่อาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนจากภายนอก สามารถอัปโหลดไฟล์ใด ๆ ก็ได้ เข้าสู่ระบบที่มีช่องโหว่ดังกล่าว (more…)

FBI ได้ขอความช่วยเหลือจากสาธารณชนในการให้ข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์ Salt Typhoon จากจีน ที่อยู่เบื้องหลังการโจมตีระบบของผู้ให้บริการโทรคมนาคมในสหรัฐอเมริกา และทั่วโลก

ในเดือนตุลาคมที่ผ่านมา FBI และ CISA ได้ยืนยันว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้เจาะเข้าระบบของผู้ให้บริการโทรคมนาคมหลายราย (รวมถึง AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, และ Windstream) รวมทั้งบริษัทโทรคมนาคมอื่น ๆ ในหลายประเทศ

จากการเปิดเผยในขณะนั้น แม้ว่าพวกเขาจะเข้าถึงเครือข่ายโทรคมนาคมของสหรัฐฯ ได้ แต่ผู้โจมตียังสามารถเข้าถึงแพลตฟอร์มดักฟังสายโทรศัพท์ของเจ้าหน้าที่บังคับใช้กฎหมายของสหรัฐฯ และสามารถเข้าถึงการสื่อสารส่วนตัวของเจ้าหน้าที่รัฐบาลสหรัฐฯ ในจำนวนจำกัดได้อีกด้วย

เมื่อวันพฤหัสบดี FBI ได้ออกประกาศสาธารณะ เพื่อขอข้อมูลที่อาจช่วยในการระบุตัวตน และค้นหาตำแหน่งของกลุ่มแฮ็กเกอร์ Salt Typhoon ที่ได้โจมตีโครงสร้างพื้นฐานโทรคมนาคมของสหรัฐฯ ได้

โดย FBI ระบุว่า "การสืบสวนเกี่ยวกับกลุ่มแฮ็กเกอร์เหล่านี้ และกิจกรรมของพวกเขาเปิดเผยแคมเปญการโจมตีทางไซเบอร์ที่กว้างขวาง และมีความสำคัญ เพื่อใช้ในการเข้าถึงเครือข่ายเหล่านี้ในการโจมตีเป้าหมายในระดับโลก กิจกรรมนี้ส่งผลให้เกิดการขโมยข้อมูลบันทึกการโทร, การสื่อสารส่วนตัวที่เกี่ยวข้องกับผู้เสียหายบางราย และการคัดลอกข้อมูลที่ได้รับคำสั่งจากศาลตามคำขอของเจ้าหน้าที่บังคับใช้กฎหมายสหรัฐฯ"

FBI ยังคงมุ่งมั่นในการปกป้องภาคโทรคมนาคมของสหรัฐฯ รวมถึงบุคคล และองค์กรที่เป็นเป้าหมายของ Salt Typhoon โดยการระบุตัวตน, ลดความเสี่ยง และขัดขวางกิจกรรมทางไซเบอร์ที่เป็นอันตรายของ Salt Typhoon "หากคุณมีข้อมูลเกี่ยวกับบุคคลที่เป็นสมาชิกของ Salt Typhoon หรือกิจกรรมอื่น ๆ ของ Salt Typhoon FBI ยินดีเป็นอย่างยิ่งที่จะรับฟังข้อมูลจากคุณ"

ในเดือนมกราคม กระทรวงการคลังของสหรัฐฯ ผ่านสำนักงานการควบคุมทรัพย์สินต่างประเทศ (OFAC) ได้ประกาศมาตรการคว่ำบาตรต่อ Sichuan Juxinhe Network Technology บริษัทความปลอดภัยทางไซเบอร์ของจีน ที่เชื่อว่าเกี่ยวข้องโดยตรงกับการละเมิดระบบโทรคมนาคมของ Salt Typhoon

FBI ยังเตือนว่า กระทรวงการต่างประเทศของสหรัฐฯ เสนอรางวัลสูงสุดถึง 10 ล้านเหรียญสหรัฐผ่านโปรแกรม Rewards for Justice (RFJ) สำหรับข้อมูลเกี่ยวกับแฮ็กเกอร์ที่เชื่อมโยงกับรัฐบาลต่างประเทศที่มีส่วนเกี่ยวข้องในกิจกรรมทางไซเบอร์ที่เป็นอันตรายต่อโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

การโจมตีระบบโทรคมนาคมเพิ่มเติมจาก Salt Typhoon

กลุ่มแฮ็กเกอร์จากจีน Salt Typhoon (ที่ยังถูกติดตามในชื่อ Ghost Emperor, FamousSparrow, Earth Estries, และ UNC2286) ได้ทำการโจมตีหน่วยงานรัฐบาล และบริษัทโทรคมนาคมมาตั้งแต่ปี 2019 เป็นอย่างน้อย

ในช่วงหลายเดือนที่ผ่านมา ยังมีข้อมูลที่ถูกเปิดเผยว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ยังคงมุ่งเป้าโจมตีระบบโทรคมนาคมอย่างต่อเนื่อง ระหว่างเดือนธันวาคม 2024 ถึงมกราคม 2025 กลุ่มนี้ได้เจาะเข้าบริษัทโทรคมนาคมเพิ่มเติมทั่วโลก โดยใช้ช่องโหว่การยกระดับสิทธิ์ และช่องโหว่การโจมตีด้วยคำสั่ง Web UI ในอุปกรณ์เครือข่าย Cisco IOS XE ที่ยังไม่ได้อัปเดตพตซ์

การโจมตีระบบเพิ่มเติมเหล่านี้รวมไปถึงผู้ให้บริการอินเทอร์เน็ต (ISP) ของสหรัฐฯ บริษัทในเครือของผู้ให้บริการโทรคมนาคมของสหราชอาณาจักรในสหรัฐฯ, ผู้ให้บริการอินเทอร์เน็ตของอิตาลี, ผู้ให้บริการโทรคมนาคมในแอฟริกาใต้ และผู้ให้บริการโทรคมนาคมรายใหญ่ในประเทศไทย

Cisco ยังเปิดได้เผยว่า แฮ็กเกอร์ชาวจีนใช้เครื่องมืออันตราย JumbledPath ซึ่งถูกออกแบบมาเพื่อเฝ้าติดตามปริมาณการรับส่งข้อมูลบนเครือข่ายอย่างลับ ๆ และอาจขโมยข้อมูลที่มีความสำคัญจากเครือข่ายของผู้ให้บริการโทรคมนาคมในสหรัฐฯ ที่ถูกโจมตี

เพื่อตอบสนองต่อการโจมตีเหล่านี้ เจ้าหน้าที่สหรัฐฯ กำลังพิจารณาการห้ามใช้งานเราเตอร์ TP-Link หากการสอบสวนที่กำลังดำเนินการพบว่าการใช้เราเตอร์ดังกล่าวในการโจมตีทางไซเบอร์เป็นภัยต่อความมั่นคงของชาติ พวกเขายังมีแผนที่จะระงับการดำเนินงานของ China Telecom ในสหรัฐฯ อีกด้วย

ที่มา : bleepingcomputer.