Cisco เผยข้อมูลรายได้จากเหตุการณ์ Ransomware ที่คาดการณ์ว่ามีมูลค่าสูงถึง 30 ล้านเหรียญ

นักวิจัยด้าน Cyber security ของ Cisco เปิดเผยว่าพบการเชื่อมโยงระหว่าง Ransomware และการใช้ Angler Exploit Kit ซึ่งเป็นหนึ่งในเครื่องมือเจาะระบบที่มีศักยภาพร้ายแรง โดยจำนวนของเหยื่อเหล่านี้ส่วนใหญ่จะมีการเชื่อมต่อไปที่ผู้ให้บริการ hosting ชื่อ “Limestone” และหลังจากทำการศึกษาต่อ พบว่ากลุ่มกลุ่มเหล่านี้ตั้งเป้าการโจมตีไว้ถึง 90,000 เครื่องต่อวัน ซึ่งจากสถิติพบว่า จะมีผู้ติด ransomware มากกว่า 3600 เครื่องต่อวัน และร้อยละ 3 ในจำนวนผู้จ่ายค่าไถ่ ransomware นั้นต้องจ่ายค่าไถ่สูงถึงกว่า 300 เหรียญ

ที่มา : thehackernews

FireEye รายงานถึงรอม SYNful Knock เป็นรอมที่ถูกดัดแปลงและติดตั้งเข้ากับเราท์เตอร์ใน 4 ประเทศ ได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก, และอินเดีย เราท์เตอร์เหล่านี้ถูกติดตั้งในหลายที่รวมถึงหน่วยงานรัฐบาล ตัวรอมจะเปิดช่องโหว่เพื่อรอรับคำสั่งจากเซิร์ฟเวอร์ ซึ่งเราท์เตอร์ที่พบ SYNful Knock แล้วมี 3 รุ่น ได้แก่ Cisco 1841, Cisco 2811, และ Cisco 3825
รอม SYNful Knock ถูกออกแบบให้เป็นโมดูลที่มีความสามารถแยกกันไป รอมแต่ละชุดสามารถติดตั้งโมดูลเพิ่มเติมได้ถึง 100 ชุด รับคำสั่งจาก TCP SYN ทางพอร์ต 80 ที่ถูกต้องตามเงื่อนไข แพ็กเก็ตนี้สามารถเรียกให้มัลแวร์ในรอมทำงานได้เสมอแม้ตัวเราท์เตอร์จะตั้ง filter ไว้ก็ตาม เมื่อรอมได้รับคำสั่งจากเซิร์ฟเวอร์ เซิร์ฟเวอร์จะสามารถเชื่อมต่อเข้ามาติดตั้งโมดูลเพิ่มเติมได้

ทางซิสโก้ยืนยันการโจมตี และระบุว่าได้ออกประกาศแจ้งเตือนลูกค้าไปก่อนหน้านี้แล้ว โดยการโจมตีนี้ไม่ใช่ช่องโหว่ของสินค้าแต่เป็นการดัดแปลงที่ต้องการสิทธิ์ผู้ดูแลระบบหรือเข้าถึงตัวเครื่องเพื่อดัดแปลงเราท์เตอร์โดยตรง ซึ่งยังไม่มีข้อมูลยืนยันว่าใครเป็นคนสร้างเฟิร์มแวร์นี้ แต่ซีอีโอของ FireEye ระบุว่า คนที่มีทรัพยากรระดับนี้ได้ต้องเป็นระดับรัฐ

ที่มา : thehackernews

ซิสโก้ประกาศแจ้งเตือนว่า ซอฟต์แวร์รักษาความปลอดภัยสามตัว ได้แก่ Web Security Virtual Appliance (WSAv), Email Security Virtual Appliance (ESAv), และ Security Management Virtual Appliance (SMAv) มีช่องโหว่ใช้กุญแจ SSH เป็นค่าเริ่มต้นตรงกันทำให้เสี่ยงต่อการถูกเข้าควบคุมโดยแฮกเกอร์ หากแฮกเกอร์สามารถเชื่อมต่อเข้ามายังพอร์ต SSH ได้

ซิสโก้แจ้งให้ลูกค้าติดตั้งอัพเดตที่ออกมาในวันนี้ โดยสามารถสั่งอัพเดตผ่านกระบวนการปกติ แต่ให้ตรวจสอบว่ามีรายการ "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" อยู่ในรายชื่อแพตช์ที่อัพเดต

ที่มา : theregister

Cisco ประกาศเมื่อวันที่ 16 กรกฎาคม 2557 ว่า พบช่องโหว่รีโมทโค้ดจากระยะไกลบนเว็บเซิร์ฟเวอร์ที่อยู่ในผลิตภัณฑ์ Wireless Residential Gateway

ช่องโหว่ CVE-2014-3306 สามารถใช้ประโยชน์ โดยการส่งคำขอ HTTP ไปยังอุปกรณ์ที่ได้รับผลกระทบ ทำให้ web server ที่ติดตั้งอยู่บนเครื่องไม่สามารถใช้บริการได้, สามารถ inject command ได้ และ รันโค้ดในการยกระดับสิทธิ์ได้

อุปกรณ์ต่อไปนี้ได้รับผลกระทบ ได้แก่ DPC3212 และ EPC3212 (VoIP Cable Modem), DPC3825 และ EPC3825 8x4 DOCSIS 3.0 (Wireless Residential Gateway), DPC3010 และ EPC3010 DOCSIS 3.0 8x4 (Cable Modem), DPC3925 และ EPC3925 DOCSIS 3.0 8x4 with Wireless Residential Gateway with Edva และ DPQ3925 8x4 DOCSIS 3.0 (Wireless Residential Gateway with Edva)

Cisco ได้แนะนำวีธีแก้ไขช่องโหว่ดังกล่าวว่า ให้ดาวน์โหลดโปรแกรมอัพเดท (ฟรี) แล้วให้รีบไปอัพเดทอุปกรณ์ทันที

ที่มา : scmagazine

Cisco ประกาศเมื่อวันที่ 16 กรกฎาคม 2557 ว่า พบช่องโหว่รีโมทโค้ดจากระยะไกลบนเว็บเซิร์ฟเวอร์ที่อยู่ในผลิตภัณฑ์ Wireless Residential Gateway

ช่องโหว่ CVE-2014-3306 สามารถใช้ประโยชน์ โดยการส่งคำขอ HTTP ไปยังอุปกรณ์ที่ได้รับผลกระทบ ทำให้ web server ที่ติดตั้งอยู่บนเครื่องไม่สามารถใช้บริการได้, สามารถ inject command ได้ และ รันโค้ดในการยกระดับสิทธิ์ได้

อุปกรณ์ต่อไปนี้ได้รับผลกระทบ ได้แก่ DPC3212 และ EPC3212 (VoIP Cable Modem), DPC3825 และ EPC3825 8x4 DOCSIS 3.0 (Wireless Residential Gateway), DPC3010 และ EPC3010 DOCSIS 3.0 8x4 (Cable Modem), DPC3925 และ EPC3925 DOCSIS 3.0 8x4 with Wireless Residential Gateway with Edva และ DPQ3925 8x4 DOCSIS 3.0 (Wireless Residential Gateway with Edva)

Cisco ได้แนะนำวีธีแก้ไขช่องโหว่ดังกล่าวว่า ให้ดาวน์โหลดโปรแกรมอัพเดท (ฟรี) แล้วให้รีบไปอัพเดทอุปกรณ์ทันที

ที่มา : scmagazine

นักวิจัยด้านความปลอดภัยรายงานว่า พบช่องโหว่ของอุปกรณ์ Routers จำนวน 2,000 เครื่อง ของบริษัท Cisco ทำให้แฮกเกอร์ใช้วิธี โจมตีจากระยะไกลผ่านพอร์ต 32764 TCP โดยใช้คำสั่งส่งไปยังอุปกรณ์ Routers เพื่อต้องการเปลี่ยนรหัสผ่านใหม่ หลังจากนั้นแฮกเกอร์ก็สามารถเข้าถึงตัวอุปกรณ์ Routers โดยใช้สิทธิของผู้ดูแลระบบทันที

จากข่าวรายงานว่า อุปกรณ์ Routers ที่ได้รับผลกระทบมีดังนี้

WAP4410N Wireless-N Access Point
Cisco WRVS4400N Wireless-N Gigabit Security Router
Cisco RVS4000 4-port Gigabit Security

ปัจจุบันช่องโหว่ดังกล่าวมีชื่อว่า CVE-2014-0659 ทาง Cisco ได้เตรียมที่จะออกแพทช์มาแก้ไขช่องโหว่ดังกล่าวปลายเดือนมกราคม 2557

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยรายงานว่า พบช่องโหว่ของอุปกรณ์ Routers จำนวน 2,000 เครื่อง ของบริษัท Cisco ทำให้แฮกเกอร์ใช้วิธี โจมตีจากระยะไกลผ่านพอร์ต 32764 TCP โดยใช้คำสั่งส่งไปยังอุปกรณ์ Routers เพื่อต้องการเปลี่ยนรหัสผ่านใหม่ หลังจากนั้นแฮกเกอร์ก็สามารถเข้าถึงตัวอุปกรณ์ Routers โดยใช้สิทธิของผู้ดูแลระบบทันที

จากข่าวรายงานว่า อุปกรณ์ Routers ที่ได้รับผลกระทบมีดังนี้

WAP4410N Wireless-N Access Point
Cisco WRVS4400N Wireless-N Gigabit Security Router
Cisco RVS4000 4-port Gigabit Security

ปัจจุบันช่องโหว่ดังกล่าวมีชื่อว่า CVE-2014-0659 ทาง Cisco ได้เตรียมที่จะออกแพทช์มาแก้ไขช่องโหว่ดังกล่าวปลายเดือนมกราคม 2557

ที่มา : thehackernews

บริษัท Cisco ได้ออกแพทช์เพื่อปิดช่องโหว่จำนวน 10 ช่องโหว่ ที่ทำให้สามารถทำการ DoS ไปยังอุปกรณ์ของ Cisco ได้ โดยช่องโหว่เหล่านี้อยู่ในส่วนการทำงานของ Time Protocol (NTP), the Internet Key Exchange protocol, the Dynamic Host Configuration Protocol (DHCP), the Resource Reservation Protocol (RSVP), ฟีเจอร์ the virtual fragmentation reassembly (VFR) สำหรับ IPv6, the Zone-Based Firewall (ZBFW) component, the T1/E1 driver queue และฟังก์ชั่น the Network Address Translation (NAT) สำหรับ DNS (Domain Name System) และ PPTP (Point-to-Point Tunneling Protocol โดยความสามารถเหล่านี้เป็นฟังก์ชั่นการทำงานบน IOS(ระบบปฎิบัติการของอุปกรณ์ Cisco) การโจมตีแบบ DoS สามารถทำได้โดยการส่งแพ็คเกจที่สร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ของ Cisco ที่มีการเปิดใช้ฟังก์ชั่นเหล่านี้อยู่ โดยผลจากการโจมตีแบบ DoS จะมีตั้งแต่ เครื่องหยุดการทำงาน, เครื่องทำการรีโหลด, เครื่องสูญเสียความสามารถในการเชื่อมต่อ , เครื่องสูญเสียความสามารถในการค้นหาเส้นทางในการส่งแพ็คเกจ หรือ สูญเสียความสามารถอื่นๆโดยขึ้นอยู่กับประเภทของ DoS ทีโจมตีเข้ามา ช่องโหว่เหล่านี้ถูกพบในระหว่างที่บริษัท Cisco กำลังทำการรีวิวหรือแก้ไขปัญหาของลูกค้าที่แจ้งเข้ามาเป็นการภายใน

ที่มา : COMPUTERWORLD