Cisco เปิดเผยว่า อาชญากรไซเบอร์ได้ขโมยข้อมูลโปรไฟล์พื้นฐานของผู้ใช้งานที่ลงทะเบียนบน Cisco.com หลังจากเกิดการโจมตีแบบฟิชชิงผ่านเสียง (vishing) ซึ่งมุ่งเป้าไปที่ตัวแทนของบริษัท
ตั้งแต่วันที่ 24 กรกฎาคมที่ผ่านมา บริษัทผู้ผลิตอุปกรณ์เครือข่ายชั้นนำ หรือ Cisco ได้เปิดเผยว่า ตรวจพบการโจมตีที่เกิดจากการหลอกลวงพนักงาน ทำให้ผู้โจมตีสามารถเข้าถึงระบบ Customer Relationship Management (CRM) บนคลาวด์ ซึ่งให้บริการโดยบริษัทภายนอกที่ Cisco ใช้งานอยู่ (more…)
Cisco ออกคำเตือนช่องโหว่ระดับ Critical 3 รายการใน Cisco Identity Services Engine (ISE) ที่เพิ่งได้รับการแก้ไขเมื่อเร็ว ๆ นี้ และกำลังถูกนำไปใช้ประโยชน์ในการโจมตีอย่างต่อเนื่อง
แม้ว่าทาง Cisco จะไม่ได้ระบุว่าช่องโหว่เหล่านี้ถูกนำไปใช้ในการโจมตีอย่างไร และประสบความสำเร็จหรือไม่ แต่การอัปเดตด้านความปลอดภัยโดยเร็วที่สุดถือเป็นสิ่งสำคัญอย่างยิ่ง (more…)
Cisco ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับความรุนแรงสูงสุด 2 รายการใน Identity Services Engine (ISE) และ ISE Passive Identity Connector (ISE-PIC) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งใด ๆ ด้วยสิทธิ์ Root ได้
ช่องโหว่เหล่านี้มีหมายเลข CVE-2025-20281 และ CVE-2025-20282 โดยแต่ละช่องโหว่มีคะแนน CVSS สูงสุดที่ 10.0 ซึ่งบ่งบอกถึงความรุนแรงระดับสูงสุด รายละเอียดของช่องโหว่มีดังนี้ (more…)
Cisco ออกแพตช์แก้ไขซอฟต์แวร์เพื่อจัดการกับช่องโหว่ด้านความปลอดภัยที่มีระดับความรุนแรงสูงสุดใน IOS XE Wireless Controller ที่อาจทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนจากภายนอก สามารถอัปโหลดไฟล์ใด ๆ ก็ได้ เข้าสู่ระบบที่มีช่องโหว่ดังกล่าว (more…)
FBI ได้ขอความช่วยเหลือจากสาธารณชนในการให้ข้อมูลเกี่ยวกับกลุ่มแฮ็กเกอร์ Salt Typhoon จากจีน ที่อยู่เบื้องหลังการโจมตีระบบของผู้ให้บริการโทรคมนาคมในสหรัฐอเมริกา และทั่วโลก
ในเดือนตุลาคมที่ผ่านมา FBI และ CISA ได้ยืนยันว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ได้เจาะเข้าระบบของผู้ให้บริการโทรคมนาคมหลายราย (รวมถึง AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, และ Windstream) รวมทั้งบริษัทโทรคมนาคมอื่น ๆ ในหลายประเทศ
จากการเปิดเผยในขณะนั้น แม้ว่าพวกเขาจะเข้าถึงเครือข่ายโทรคมนาคมของสหรัฐฯ ได้ แต่ผู้โจมตียังสามารถเข้าถึงแพลตฟอร์มดักฟังสายโทรศัพท์ของเจ้าหน้าที่บังคับใช้กฎหมายของสหรัฐฯ และสามารถเข้าถึงการสื่อสารส่วนตัวของเจ้าหน้าที่รัฐบาลสหรัฐฯ ในจำนวนจำกัดได้อีกด้วย
เมื่อวันพฤหัสบดี FBI ได้ออกประกาศสาธารณะ เพื่อขอข้อมูลที่อาจช่วยในการระบุตัวตน และค้นหาตำแหน่งของกลุ่มแฮ็กเกอร์ Salt Typhoon ที่ได้โจมตีโครงสร้างพื้นฐานโทรคมนาคมของสหรัฐฯ ได้
โดย FBI ระบุว่า "การสืบสวนเกี่ยวกับกลุ่มแฮ็กเกอร์เหล่านี้ และกิจกรรมของพวกเขาเปิดเผยแคมเปญการโจมตีทางไซเบอร์ที่กว้างขวาง และมีความสำคัญ เพื่อใช้ในการเข้าถึงเครือข่ายเหล่านี้ในการโจมตีเป้าหมายในระดับโลก กิจกรรมนี้ส่งผลให้เกิดการขโมยข้อมูลบันทึกการโทร, การสื่อสารส่วนตัวที่เกี่ยวข้องกับผู้เสียหายบางราย และการคัดลอกข้อมูลที่ได้รับคำสั่งจากศาลตามคำขอของเจ้าหน้าที่บังคับใช้กฎหมายสหรัฐฯ"
FBI ยังคงมุ่งมั่นในการปกป้องภาคโทรคมนาคมของสหรัฐฯ รวมถึงบุคคล และองค์กรที่เป็นเป้าหมายของ Salt Typhoon โดยการระบุตัวตน, ลดความเสี่ยง และขัดขวางกิจกรรมทางไซเบอร์ที่เป็นอันตรายของ Salt Typhoon "หากคุณมีข้อมูลเกี่ยวกับบุคคลที่เป็นสมาชิกของ Salt Typhoon หรือกิจกรรมอื่น ๆ ของ Salt Typhoon FBI ยินดีเป็นอย่างยิ่งที่จะรับฟังข้อมูลจากคุณ"
ในเดือนมกราคม กระทรวงการคลังของสหรัฐฯ ผ่านสำนักงานการควบคุมทรัพย์สินต่างประเทศ (OFAC) ได้ประกาศมาตรการคว่ำบาตรต่อ Sichuan Juxinhe Network Technology บริษัทความปลอดภัยทางไซเบอร์ของจีน ที่เชื่อว่าเกี่ยวข้องโดยตรงกับการละเมิดระบบโทรคมนาคมของ Salt Typhoon
FBI ยังเตือนว่า กระทรวงการต่างประเทศของสหรัฐฯ เสนอรางวัลสูงสุดถึง 10 ล้านเหรียญสหรัฐผ่านโปรแกรม Rewards for Justice (RFJ) สำหรับข้อมูลเกี่ยวกับแฮ็กเกอร์ที่เชื่อมโยงกับรัฐบาลต่างประเทศที่มีส่วนเกี่ยวข้องในกิจกรรมทางไซเบอร์ที่เป็นอันตรายต่อโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ
การโจมตีระบบโทรคมนาคมเพิ่มเติมจาก Salt Typhoon
กลุ่มแฮ็กเกอร์จากจีน Salt Typhoon (ที่ยังถูกติดตามในชื่อ Ghost Emperor, FamousSparrow, Earth Estries, และ UNC2286) ได้ทำการโจมตีหน่วยงานรัฐบาล และบริษัทโทรคมนาคมมาตั้งแต่ปี 2019 เป็นอย่างน้อย
ในช่วงหลายเดือนที่ผ่านมา ยังมีข้อมูลที่ถูกเปิดเผยว่า กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ยังคงมุ่งเป้าโจมตีระบบโทรคมนาคมอย่างต่อเนื่อง ระหว่างเดือนธันวาคม 2024 ถึงมกราคม 2025 กลุ่มนี้ได้เจาะเข้าบริษัทโทรคมนาคมเพิ่มเติมทั่วโลก โดยใช้ช่องโหว่การยกระดับสิทธิ์ และช่องโหว่การโจมตีด้วยคำสั่ง Web UI ในอุปกรณ์เครือข่าย Cisco IOS XE ที่ยังไม่ได้อัปเดตพตซ์
การโจมตีระบบเพิ่มเติมเหล่านี้รวมไปถึงผู้ให้บริการอินเทอร์เน็ต (ISP) ของสหรัฐฯ บริษัทในเครือของผู้ให้บริการโทรคมนาคมของสหราชอาณาจักรในสหรัฐฯ, ผู้ให้บริการอินเทอร์เน็ตของอิตาลี, ผู้ให้บริการโทรคมนาคมในแอฟริกาใต้ และผู้ให้บริการโทรคมนาคมรายใหญ่ในประเทศไทย
Cisco ยังเปิดได้เผยว่า แฮ็กเกอร์ชาวจีนใช้เครื่องมืออันตราย JumbledPath ซึ่งถูกออกแบบมาเพื่อเฝ้าติดตามปริมาณการรับส่งข้อมูลบนเครือข่ายอย่างลับ ๆ และอาจขโมยข้อมูลที่มีความสำคัญจากเครือข่ายของผู้ให้บริการโทรคมนาคมในสหรัฐฯ ที่ถูกโจมตี
เพื่อตอบสนองต่อการโจมตีเหล่านี้ เจ้าหน้าที่สหรัฐฯ กำลังพิจารณาการห้ามใช้งานเราเตอร์ TP-Link หากการสอบสวนที่กำลังดำเนินการพบว่าการใช้เราเตอร์ดังกล่าวในการโจมตีทางไซเบอร์เป็นภัยต่อความมั่นคงของชาติ พวกเขายังมีแผนที่จะระงับการดำเนินงานของ China Telecom ในสหรัฐฯ อีกด้วย
ที่มา : bleepingcomputer.
ผู้โจมตีเริ่มมุ่งเป้าไปที่การใช้งาน Cisco Smart Licensing Utility (CSLU) ที่ไม่ได้รับการอัปเดตแพตช์จากช่องโหว่ที่ส่งผลให้มีการเปิดเผยบัญชีผู้ดูแลระบบที่เป็นลักษณะ backdoor
แอปพลิเคชัน CSLU สำหรับ Windows ช่วยให้ผู้ดูแลระบบสามารถจัดการ licenses และผลิตภัณฑ์ที่เชื่อมโยงภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager บน Cloud ของ Cisco
Cisco ได้แก้ไขช่องโหว่ด้านความปลอดภัยนี้ (CVE-2024-20439) ในเดือนกันยายน โดยอธิบายว่าเป็นช่องโหว่ที่เกิดจาก "ข้อมูล credential ของบัญชีผู้ใช้ระดับผู้ดูแลระบบแบบ static ที่ไม่ได้ถูกบันทึกไว้" ซึ่งอาจทำให้ผู้โจมตีที่ไม่ได้ผ่านการยืนยัน สามารถเข้าสู่ระบบที่ยังไม่ได้รับการอัปเดตแพตช์จากระยะไกลด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน CSLU
บริษัทยังได้แก้ไขช่องโหว่การเปิดเผยข้อมูล CSLU ระดับ Critical อีกหนึ่งรายการ (CVE-2024-20440) ซึ่งผู้โจมตีที่ไม่ได้ผ่านการยืนยันสามารถใช้เพื่อเข้าถึง log files ที่มีข้อมูลที่มีความสำคัญ (รวมถึงข้อมูล API credentials) โดยการส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่
ช่องโหว่ทั้งสองรายการนี้ส่งผลกระทบกับระบบที่ใช้งานเวอร์ชัน Cisco Smart Licensing Utility ที่มีช่องโหว่เท่านั้น และสามารถถูกโจมตีได้เฉพาะเมื่อผู้ใช้งานเปิดใช้งานแอปพลิเคชัน CSLU ซึ่งไม่ได้ออกแบบให้ทำงานใน background โดยค่าเริ่มต้น
Nicholas Starke นักวิจัยด้านภัยคุกคามจาก Aruba ได้ทำ reverse-engineered กับช่องโหว่นี้ และเผยแพร่บทความที่มีรายละเอียดทางเทคนิค (รวมถึงรหัสผ่าน static ที่ถูกเข้ารหัส) ประมาณสองสัปดาห์หลังจากที่ Cisco ปล่อยแพตช์ความปลอดภัย
เป้าหมายในการโจมตี
Johannes Ullrich คณบดีฝ่ายวิจัยของสถาบันเทคโนโลยี SANS รายงานว่า กลุ่มผู้โจมตีกำลังเชื่อมโยงช่องโหว่ทั้งสองรายการในความพยายามโจมตีที่มุ่งเป้าไปที่การใช้งาน CSLU ที่เปิดเผยอยู่บนอินเทอร์เน็ต
Ullrich ระบุว่า "การค้นหาคร่าว ๆ ไม่พบการใช้ช่องโหว่ในการโจมตี (ในขณะนั้น) แต่รายละเอียดต่าง ๆ รวมถึงข้อมูล backdoor credentials ถูกเผยแพร่ในบล็อกของ Nicholas Starke หลังจาก Cisco ออกคำแนะนำด้านความปลอดภัย ดังนั้นจึงไม่น่าแปลกใจที่อาจจะเห็นพฤติกรรมการโจมตีหลังจากนี้"
แม้ว่าจะยังไม่ทราบเป้าหมายของการโจมตีด้วยช่องโหว่เหล่านี้ แต่กลุ่มผู้โจมตียังพยายามใช้ประโยชน์จากช่องโหว่ความปลอดภัยอื่น ๆ รวมถึงช่องโหว่การเปิดเผยข้อมูลที่ดูเหมือนจะเป็นช่องโหว่ที่มีการโจมตีโดยใช้ proof-of-concept (POC) ที่ถูกเผยแพร่ออกสู่สาธารณะ (CVE-2024-0305) ซึ่งส่งผลกระทบต่อเครื่องบันทึกวิดีโอดิจิตอล (DVR) ของ Guangzhou Yingke Electronic
คำแนะนำความปลอดภัยของ Cisco สำหรับ CVE-2024-20439 และ CVE-2024-20440 ยังคงระบุว่า ทีมตอบสนองเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ (PSIRT) ยังไม่พบหลักฐานว่าผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่ทั้งสองรายการ
CVE-2024-20439 ไม่ใช่บัญชี backdoor ตัวแรกที่ Cisco ลบออกจากผลิตภัณฑ์ในช่วงไม่กี่ปีที่ผ่านมา โดยพบข้อมูล credentials ที่ฝังอยู่ในซอฟต์แวร์ต่าง ๆ ของบริษัท เช่น Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS) และ Emergency Responder
ที่มา : bleepingcomputer
กลุ่มผู้ไม่หวังดีที่มีชื่อเสียง และได้รับการสนับสนุนจากรัฐบาลจีนได้มุ่งเป้าการโจมตีไปยังบริษัทโทรคมนาคมในสหรัฐฯ (more…)
Cisco ออกแพตช์เพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการใน Identity Services Engine (ISE) security policy management platform (more…)
Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้ (more…)
Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้ (more…)