Cisco ยืนยันเรื่องการถูกโจมตีในเดือนพฤษภาคม และข้อมูลรั่วไหลโดยกลุ่มแรนซัมแวร์ Yanluowang เป็นข้อมูลที่ถูกขโมยจากระบบของ Cisco จริง ๆ

ในเดือนสิงหาคมที่ผ่านมา Cisco ออกมาเปิดเผยข้อมูลการถูกโจมตีจากกลุ่มแรนซัมแวร์ Yanluowang ที่สามารถเข้าถึงเครือข่ายขององค์กรได้ในช่วงปลายเดือนพฤษภาคม และขโมยข้อมูลภายในออกไป

การสืบสวนดำเนินการโดย Cisco Security Incident Response (CSIRT) และ Cisco Talos เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของพนักงานของ Cisco ได้ หลังจากที่แฮ็กบัญชี Google ส่วนตัวของพนักงานรายนั้นได้ก่อนหน้า และพบว่ามีการซิงโครไนซ์ข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์

เมื่อได้ข้อมูลแล้ว ผู้โจมตีก็เริ่มโจมตีแบบ voice phishing เพื่อหลอกให้เหยื่อให้กดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตี

จากนั้นหลังจากที่ผู้โจมตีสามารถเข้าถึง VPN ในฐานะของผู้ใช้ได้ ก็ทำการโจมตีแบบ voice phishing ต่อไปอีกหลายครั้ง เพื่อพยายามให้เหยื่อกดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตีต่อไปเรื่อย ๆ จนในที่สุดผู้โจมตีประสบความสำเร็จในการเข้าถึง VPN ของผู้ใช้งานที่เป็นเป้าหมายได้

จากรายงานของ Talos เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้แล้ว ผู้โจมตีก็ทำการโจมตีเพื่อยกระดับสิทธิ์จนได้สิทธิ์ของผู้ดูแลระบบ จากนั้นจึงสามารถเข้าถึงระบบภายในต่าง ๆ ได้ และสามารถติดตั้งเครื่องมือต่าง ๆ บนเครือข่ายเป้าหมาย ซึ่งรวมถึงเครื่องมือที่ใช้ในการเข้าถึงได้จากระยะไกล เช่น LogMeIn และ TeamViewer, Cobalt Strike, PowerSploit, Mimikatz และ Impacket

ในช่วงสุดสัปดาห์ที่ผ่านมา Cisco ยืนยันว่าข้อมูลที่เผยแพร่โดยกลุ่มแรนซัมแวร์ Yanluowang นั้นเป็นข้อมูลจริง และถูกขโมยจากเครือข่าย ระหว่างการบุกรุกในเดือนพฤษภาคมดังกล่าว อย่างไรก็ตามบริษัทระบุว่าการโจมตีครั้งนี้ไม่กระทบต่อธุรกิจ เนื่องจากข้อมูลที่ถูกขโมยออกไปไม่มีข้อมูลที่สำคัญ

จากข้อมูลของ BleepinComputer ซึ่งติดต่อกับหัวหน้ากลุ่มแรนซัมแวร์ Yanluowang ซึ่งอ้างว่าได้ขโมยไฟล์ขนาด 55GB ซึ่งรวมถึงเอกสารลับ แผนผังทางเทคนิค และซอร์สโค้ด โดย Cisco ยังคงปฏิเสธว่าผู้โจมตีสามารถเข้าถึงซอร์สโค้ดของผลิตภัณฑ์ของตนได้

เมื่อเร็ว ๆ นี้ นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ eSentire ค้นพบว่าระบบของผู้โจมตีที่ใช้ในการแฮ็ก Cisco นั้น ถูกใช้เพื่อโจมตีบริษัทการจัดการแรงงานชั้นนำในเดือนเมษายน 2022 อีกด้วย

ผู้เชี่ยวชาญยังคาดการณ์ด้วยว่าการโจมตีดังกล่าวทำโดยผู้คุกคามที่รู้จักกันในชื่อ mx1r ซึ่งเป็นสมาชิกของกลุ่มพันธมิตร Evil Corp ที่มีชื่อว่า UNC2165

ที่มา: securityaffairs

เมื่อวันพุธที่ 7 กันยายน 2565 Cisco ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บนอุปกรณ์ของตน โดยในครั้งนี้มีแพตช์ของ NVIDIA Data Plane Development Kit (MLNX_DPDK) ที่พบเมื่อปลายเดือนกรกฎาคมด้วย โดยมีรายละเอียดดังต่อไปนี้

CVE-2022-28199 (คะแนน CVSS: 8.6) ช่องโหว่นี้เกิดจากการบริหารจัดการ Network Stack ของ MLNX_DPDK ที่ผิดพลาด ทำให้ผู้ไม่หวังดีสามารถโจมตีจนทำให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ รวมไปถึงส่งผลกระทบทั้งในด้านความถูกต้อง และความน่าเชื่อถือของข้อมูล โดยอุปกรณ์ที่ได้รับผลกระทบในช่องโหว่นี้ได้แก่

Cisco Catalyst 8000V Edge Software
Adaptive Security Virtual Appliance (ASAv)
Secure Firewall Threat Defense Virtual (ชื่อเดิมคือ FTDv)

ต่อมาคือ CVE-2022-20696 (คะแนน CVSS: 7.5) ช่องโหว่นี้เกิดขึ้นกับอุปกรณ์ Cisco SD-WAN vManage Software โดยพบว่า Port Container ของ Messaging Server ไม่มีกลไกลการป้องกันที่ดีพอ ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เชื่อมต่อเข้า Server โดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการเรียกดู และแก้ไขข้อความได้
ช่องโหว่สุดท้ายเกิดจากอินเทอร์เฟซการส่งข้อความของ Cisco Webex Application (CVE-2022-20863, คะแนน CVSS: 4.3) ที่ไม่สามารถแสดงอักขระพิเศษได้อย่างถูกต้อง ผู้ไม่หวังดีสามารถเข้าถึงจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการแก้ไขลิงก์หรือเนื้อหาอื่นๆ ภายในอินเทอร์เฟซเพื่อทำการโจมตีแบบ Phishing หรือ Spoofing ได้

นอกจากนี้ Cisco ยังชี้แจงรายละเอียดเกี่ยวกับ (CVE-2022-20923, คะแนน CVSS: 4.0) ซึ่งเกี่ยวกับ Authentication Bug ของเราเตอร์ Cisco Small Business รุ่น RV110W, RV130, RV130W, และ RV215W ว่าจะไม่ทำการแก้ไขช่องโหว่นี้แล้ว เนื่องจากผลิตภัณฑ์ใกล้จะ end-of-life (EOL) โดยแนะนำให้ผู้ใช้งานอุปกรณ์เหล่านี้เปลี่ยนไปใช้เราเตอร์ Cisco Small Business รุ่น RV132W, RV160, หรือ RV160W แทน

ที่มา : thehackernews

เมื่อวันพุธที่ผ่านมา Cisco ได้ออกแพตช์เพื่อแก้ไขช่องโหว่หลายรายการ ซึ่งอาจถูกนำไปใช้ในการขโมยข้อมูลสำคัญบนอุปกรณ์ได้

ช่องโหว่ CVE-2022-20866 (คะแนน CVSS: 7.4) เป็นช่องโหว่ในลักษณะ logic error ในการจัดการ RSA keys บนอุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD)

หากสามารถโจมตีได้สำเร็จ ผู้โจมตีจะสามารถเข้าถึง RSA private key บนอุปกรณ์เป้าหมายได้

Cisco ประกาศแจ้งเตือนเมื่อวันที่ 10 สิงหาคมที่ผ่านมา หากผู้โจมตีสามารถเข้าถึง RSA private key ได้ ก็จะสามารถใช้คีย์เพื่อถอดรหัสการรับส่งข้อมูลบนอุปกรณ์ Cisco ASA หรือซอฟต์แวร์ Cisco FTD ได้

Cisco ตั้งข้อสังเกตว่าช่องโหว่ดังกล่าวจะส่งผลกระทบเฉพาะซอฟต์แวร์ Cisco ASA รุ่น 9.16.1 และใหม่กว่า และซอฟต์แวร์ Cisco FTD รุ่น 7.0.0 และใหม่กว่า โดยผลิตภัณฑ์ที่ได้รับผลกระทบมีดังนี้

ASA 5506-X with FirePOWER Services
ASA 5506H-X with FirePOWER Services
ASA 5506W-X with FirePOWER Services
ASA 5508-X with FirePOWER Services
ASA 5516-X with FirePOWER Services
Firepower 1000 Series Next-Generation Firewall
Firepower 2100 Series Security Appliances
Firepower 4100 Series Security Appliances
Firepower 9300 Series Security Appliances, and
Secure Firewall 3100

โดยการอัปเดตเพื่อแก้ไขช่องโหว่ในครั้งนี้จะเป็นการอัปเดตสำหรับซอฟต์แวร์ ASA เวอร์ชัน 9.16.3.19, 9.17.1.13 และ 9.18.2 และซอฟต์แวร์ FTD รุ่น 7.0.4, 7.1.0.2-2 และ 7.2.0.1

Cisco ให้เครดิตกับ Nadia Heninger และ George Sullivan จาก University of California San Diego และ Jackson Sippe และ Eric Wustrow จาก University of Colorado Boulder สำหรับการรายงานช่องโหว่ดังกล่าว

นอกจากนี้ Cisco ยังได้แก้ไขช่องโหว่ client-side request smuggling บน Clientless SSL VPN (WebVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) ที่ทำให้ผู้โจมตีสามารถโจมตีในลักษณะ cross-site scripting ได้ โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-20713 (CVSS: 4.3) ซึ่งส่งผลกระทบต่ออุปกรณ์ Cisco ที่ใช้งานซอฟต์แวร์ Cisco ASA Software รุ่น 9.17(1 )หรือเก่ากว่า และมีการเปิดใช้งาน Clientless SSL VPN

แม้ว่าจะไม่มีวิธีแก้ปัญหาเบื้องต้นก่อนที่จะมีการอัปเดตแพตซ์ แต่ผู้ใช้งานอุปกรณ์ที่ได้รับผลกระทบสามารถปิดใช้งาน Clientless SSL VPN เพื่อป้องกันการโจมตีได้ แม้ Cisco จะเตือนว่าอาจส่งผลกระทบต่อการทำงาน หรือประสิทธิภาพในการทำงานของเครือข่ายก็ตาม

โดยการออกแพตซ์อัปเดตดังกล่าวเกิดขึ้นหลังจากที่บริษัทรักษาความปลอดภัยทางไซเบอร์ Rapid7 เปิดเผยรายละเอียดของช่องโหว่ 10 รายการที่พบใน ASA, Adaptive Security Device Manager (ASDM) และซอฟต์แวร์ FirePOWER สำหรับ ASA ซึ่ง Cisco ได้แก้ไขช่องโหว่ไปแล้ว 7 รายการ

ซึ่งรวมถึง CVE-2022-20829 (CVSS: 9.1), CVE-2022-20651 (CVSS: 5.5), CVE-2021-1585 (CVSS: 7.5), CVE-2022-20828 (CVSS: 6.5) และช่องโหว่อื่นๆ อีก 3 รายการ ที่ยังไม่ได้รับการระบุหมายเลข CVE

ที่มา: thehackernews

Cisco ยืนยันเมื่อวันที่ 10 สิงหาคม 2565 ว่าถูกกลุ่มแรนซัมแวร์ Yanluowang โจมตีเครือข่ายขององค์กรเมื่อปลายเดือนพฤษภาคม และผู้โจมตีมีการข่มขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยออกไปจากโฟลเดอร์ Box ที่เชื่อมต่อกับบัญชีของพนักงานที่ถูกโจมตี และในวันเดียวกันนี้ ผู้โจมตีได้เผยแพร่ตัวอย่างรายการไฟล์ที่ได้ขโมยออกมาจาก Cisco บน Dark Web

ข้อมูลประจำตัวของพนักงานที่ถูกขโมย และถูกใช้ในการโจมตีเครือข่ายของ Cisco

กลุ่ม Yanluowang เข้าถึงเครือข่ายของ Cisco โดยการใช้ข้อมูลประจำตัวที่ถูกขโมยมาจากพนักงาน หลังจากสามารถเข้าถึงบัญชี Google ส่วนตัวของพนักงาน และมีข้อมูลข้อมูลประจำตัวบางอย่างถูกเก็บไว้บนเบราว์เซอร์

จากนั้นผู้โจมตีพยายามใช้วิธี voice phishing โดยการแอบอ้างเป็นองค์กรที่น่าเชื่อถือ เพื่อให้พนักงานของ Cisco กดลิงค์ยืนยัน MFA ทำให้ผู้โจมตีจึงสามารถเข้าถึงบัญชี VPN ของพนักงานคนดังกล่าวได้

เมื่อเข้าถึงเครือข่ายของ Cisco ได้แล้ว กลุ่ม Yanluowang จึงเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Citrix และ domain controllers เพื่อให้ได้รับสิทธิ์ในการเข้าควบคุมระบบ

หลังจากได้รับสิทธิ์ผู้ดูแลระบบบนโดเมนแล้ว ผู้โจมตีมีการใช้เครื่องมือต่างๆ เช่น ntdsutil, adfind และ secretsdump เพื่อเก็บรวบรวมข้อมูลเพิ่มเติม และพยายามติดตั้งเพย์โหลดของมัลแวร์ไปยังระบบที่ถูกโจมตี รวมถึงแบ็คดอร์ด้วย

สุดท้าย Cisco สามารถตรวจพบ และจัดการผู้โจมตีออกจากระบบได้ แต่ยังมีการพยายามในการกลับมาโจมตีอีกครั้งในสัปดาห์ถัดไป แต่ยังไม่สำเร็จ

(more…)

Cisco ได้แก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงซึ่งส่งผลกระทบต่อ Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD)

ช่องโหว่มีหมายเลข CVE-2022-20866 โดยเป็นช่องโหว่ที่เกิดจากการจัดการ RSA keys บนอุปกรณ์ ASA และ FTD

หากสามารถโจมตีได้สำเร็จ ผู้โจมตีที่ไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ สามารถเข้าถึง RSA private keys ได้ ซึ่งทำให้ผู้โจมตีสามารถอ่านข้อมูลที่ถูกเข้ารหัสระหว่างการรับส่งข้อมูลของอุปกรณ์ หรือปลอมแปลงเป็นอุปกรณ์ Cisco ASA/FTD ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco ASA (9.16.1 ขึ้นไป) หรือ Cisco FTD (7.0.0 ขึ้นไป) ได้แก่

ASA 5506-X with FirePOWER Services
ASA 5506H-X with FirePOWER Services
ASA 5506W-X with FirePOWER Services
ASA 5508-X with FirePOWER Services
ASA 5516-X with FirePOWER Services
Firepower 1000 Series Next-Generation Firewall
Firepower 2100 Series Security Appliances
Firepower 4100 Series Security Appliances
Firepower 9300 Series Security Appliances
Secure Firewall 3100

ที่มา : bleepingcomputer.

สัปดาห์นี้ Cisco ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และ login เข้าใช้งาน web management ของอุปกรณ์ Cisco email gateway ได้

ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-20798 ซึ่งถูกพบในฟังก์ชันการ authentication บน Cisco Email Security Appliance (ESA) และ Cisco Secure Email และ Web Manager appliances

ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนที่ไม่เหมาะสม จากการใช้ Lightweight Directory Access Protocol (LDAP) สำหรับการตรวจสอบสิทธิ์

"ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการใส่ข้อมูลเฉพาะบางอย่างในหน้า login เข้าสู่ระบบ ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถเข้าถึง web-base management interface บนอุปกรณ์ที่มีช่องโหว่ได้" Cisco กล่าว

"โดยช่องโหว่ดังกล่าวถูกพบระหว่างแก้ปัญหาที่ถูกแจ้งเข้ามาทาง Cisco TAC (Technical Assistance Center)"

ทีม Product Security Incident Response Team (PSIRT) ของ Cisco กล่าวว่ายังไม่พบข้อมูลว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าวในปัจจุบัน

หากใช้งานแบบ default configuration จะไม่ได้รับผลกระทบ

ช่องโหว่นี้จะมีผลกับอุปกรณ์ที่กำหนดค่าให้ใช้การตรวจสอบสิทธิ์จากภายนอก และใช้ LDAP เป็นโปรโตคอลสำหรับการตรวจสอบสิทธิ์เท่านั้น

Cisco ระบุว่าฟีเจอร์การตรวจสอบสิทธิ์ภายนอกถูกปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าเฉพาะอุปกรณ์ที่มีการเปลี่ยนแปลงการตรวจสอบสิทธิ์เท่านั้นที่จะได้รับผลกระทบ

ผู้ใช้งานสามารถตรวจสอบว่ามีการเปิดใช้งานการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ได้โดยการ login เข้าไปที่ web-base management interface ไปที่ System Administration > Users และตรวจสอบว่ามีการเลือก "Enable External Authentication" ไว้หรือไม่

Cisco ระบุว่าช่องโหว่นี้ไม่ส่งผลกระทบต่ออุปกรณ์ Cisco Secure Web Appliance ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Cisco Web Security Appliance (WSA)

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์สำหรับช่องโหว่ CVE-2022-20798 ได้ สามารถใช้วิธีแก้ไขปัญหาชั่วคราว โดยการปิดการใช้งาน anonymous binds บนฟีเจอร์การตรวจสอบสิทธิ์จากภายนอก

โดยก่อนหน้านี้มีช่องโหว่บน Email gateway อีกรายการที่ได้รับการแก้ไขไปแล้วในเดือนกุมภาพันธ์ ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้อุปกรณ์ที่มีช่องโหว่หยุดการทำงานได้ โดยการใช้ข้อความอีเมลที่ออกแบบมาโดยเฉพาะในการโจมตี

โดยในวันเดียวกันนี้ Cisco ยังประกาศด้วยว่าจะไม่แก้ไขช่องโหว่แบบ zero-day ที่ส่งผลกระทบต่อเราเตอร์ที่ end-of-life ไปแล้วอย่าง RV110W, RV130, RV130W และ RV215W SMB ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ตามที่ต้องการด้วยสิทธิ์ root ได้

ที่มา Bleepingcomputer

Cisco ได้ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงใน Cisco Umbrella Virtual Appliance (VA) ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถขโมยข้อมูลประจำตัวของผู้ดูแลระบบได้จากระยะไกล

Fraser Hess จาก Pinnacol Assurance พบช่องโหว่ (หมายเลข CVE-2022-20773) ในกลไกการพิสูจน์ตัวตน SSH แบบใช้คีย์ของ Cisco Umbrella VA

Cisco Umbrella ให้บริการด้านความปลอดภัยบนคลาวด์ กับองค์กรกว่า 24,000 แห่ง ในการรักษาความปลอดภัย DNS ต่อการโจมตีจากฟิชชิ่ง มัลแวร์ และแรนซัมแวร์ โดยการตั้งเครื่อง virtual machine ไว้ภายในองค์กรเพื่อช่วยในการทำ DNS Forwarders ที่จะบันทึก เข้ารหัส และรับรองความถูกต้องของข้อมูล DNS

ช่องโหว่นี้เกิดจาก static SSH host key ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ด้วยการโจมตีแบบ man-in-the-middle ในการเชื่อมต่อระหว่าง SSH กับ Umbrella VA" Cisco กล่าว

หากโจมตีได้สำเร็จ จะทำให้ผู้โจมตีสามารถเข้าถึง credentials ของผู้ดูแลระบบ เปลี่ยนค่าคอนฟิค หรือ reload VA ได้

ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Cisco Umbrella VA สำหรับ Hyper-V และ VMWare ESXi เวอร์ชันก่อนหน้า 3.3.2

(more…)

Cisco ออกแพตซ์แก้ไขช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อเราเตอร์ RV Series หลายรายการ ซึ่งช่องโหว่เหล่านี้สามารถยกระดับสิทธิ์ในการเข้าถึง และสั่งรันโค้ดที่เป็นอันตรายบนระบบที่มีช่องโหว่ได้ และมีคำเตือนถึง PoC (Proof-of-Concept) Exploit ที่ถูกปล่อยออกสู่สาธารณะ ทำให้อุปกรณ์ที่มีช่องโหว่ดังกล่าวมีความเสี่ยงมากยิ่งขึ้น

CVE-2022-20699, CVE-2022-20700 และ CVE-2022-20707 เป็น 3 ช่องโหว่จากทั้งหมด 15 รายการ มีคะแนน CVSS สูงสุดอยู่ที่ 10.0 และส่งผลกระทบต่อเราเตอร์ Small Business RV160, RV260, RV340 และ RV345 Series .

Cisco ยอมรับว่า " proof-of-concept exploit code สามารถใช้ได้กับช่องโหว่หลายจุด" แต่ไม่ได้เปิดเผยรายละเอียดเพิ่มเติมใดๆ เกี่ยวกับลักษณะของการโจมตี หรือระบุตัวตนของกลุ่มผู้โจมตี

CVE-2022-20699 เกี่ยวกับการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (remote code execution) ที่ผู้โจมตีสามารถใช้ประโยชน์ได้โดยส่งคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่ทำหน้าที่เป็นเกตเวย์ SSL VPN ในการรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ root

CVE-2022-20700, CVE-2022-20701 (คะแนน CVSS: 9.0) และ CVE-2022-20702 (คะแนน CVSS: 6.0) เกิดจากช่องโหว่บนระบบ Authorization ทำให้ผู้โจมตีสามารถใช้ช่องโหว่เพื่อยกระดับสิทธิ์เป็น root และรันคำสั่งได้ตามที่ต้องการบนระบบที่มีช่องโหว่

CVE-2022-20708 (คะแนน CVSS: 10.0) เกิดจากช่องโหว่การตรวจสอบข้อมูลของอินพุตที่ผู้ใช้ระบุ ทำให้ผู้โจมตีสามารถแทรกคำสั่งที่เป็นอันตรายบนระบบปฏิบัติการ Linux ได้

ช่องโหว่อื่นๆ ที่แก้ไขโดย Cisco มีดังนี้ :

CVE-2022-20703 (CVSS score: 9.3) – Cisco Small Business RV Series Routers Digital Signature Verification Bypass Vulnerability
CVE-2022-20704 (CVSS score: 4.8) – Cisco Small Business RV Series Routers SSL Certificate Validation Vulnerability
CVE-2022-20705 (CVSS score: 5.3) – Cisco Small Business RV Series Routers Improper Session Management Vulnerability
CVE-2022-20706 (CVSS score: 8.3) – Cisco RV Series Routers Open Plug and Play Command Injection Vulnerability
CVE-2022-20707 and CVE-2022-20749 (CVSS scores: 7.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Command Injection Vulnerabilities
CVE-2022-20709 (CVSS score: 5.3) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Upload Vulnerability
CVE-2022-20710 (CVSS score: 5.3) – Cisco Small Business RV Series Routers GUI Denial of Service Vulnerability
CVE-2022-20711 (CVSS score: 8.2) – Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Overwrite Vulnerability
CVE-2022-20712 (CVSS score: 7.3) – Cisco Small Business RV Series Routers Upload Module Remote Code Execution Vulnerability

Cisco แจ้งว่าไม่มีวิธีอื่น หรือ Workarounds ในการแก้ไขช่องโหว่ดังกล่าว และแนะนำให้ลูกค้าอัปเดตซอฟต์แวร์เป็นเวอร์ชันล่าสุดโดยเร็วที่สุดเพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้น

ที่มา : thehackernews

Cisco ออกอัปเดตซอฟต์แวร์เร่งด่วนเพื่อแก้ไขช่องโหว่ที่สำคัญในการตรวจสอบสิทธิ์การเข้าถึง ส่งผลให้ผู้โจมตีสามารถโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ และลงชื่อเข้าใช้อุปกรณ์ที่มีช่องโหว่ในฐานะผู้ดูแลระบบได้

ช่องโหว่ดังกล่าวถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-34746 และได้รับคะแนน CVSS 9.8 ส่งผลกระทบกับ โปรโตคอลการรับรองความถูกต้อง TACACS+, การตรวจสอบสิทธิ์ (authorization) และกระบวนการเก็บบันทึกข้อมูล (accounting) ของซอฟต์แวร์ Cisco Enterprise NFV Infrastructure

ซึ่งช่องโหว่นี้เกิดจาก user-supplied input ตรวจสอบข้อมูลที่กรอกไม่สมบูรณ์ และทำการส่งผ่านไปยังสคริปต์การตรวจสอบความถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยใส่พารามิเตอร์ลงในคำขอตรวจสอบสิทธิ์ได้

ซอฟต์แวร์ Cisco Enterprise NFV Infrastructure ช่วยให้ลูกค้าสามารถปรับใช้งานฟังก์ชัน Virtual Network ให้ได้รับการจัดการโดยอิสระ นอกจากนี้ NFVIS ยังช่วยในการจำลองบริการเครือข่ายสาขาของ Cisco เช่น Integrated Services Virtual Router, virtual WAN optimization, Virtual ASA, virtual Wireless LAN Controller

ช่องโหว่ดังกล่าวถูกค้นพบโดย Cyrille Chatras นักวิจัยด้านความปลอดภัยจาก Orange Group ซึ่งส่งผลต่อ Cisco Enterprise NFVIS 4.5.1 หาก TACACS มีการกำหนดค่าวิธีการตรวจสอบสิทธิ์จากภายนอก
ซึ่งการระบุว่า TACACS มีการเปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ผู้ใช้จำเป็นต้องใช้คำสั่ง show running-config tacacs-server ในการตรวจสอบ หากผลลัพธ์ของคำสั่ง show running-config tacacs-server คือ No entries found หมายความว่าไม่ได้เปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์

หรือสามารถตรวจสอบผ่าน GUI โดยตรวจสอบการกำหนดค่าผ่าน GUI ดังนี้
Choose Configuration > Host > Security > User and Roles

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกาได้ออกประกาศเร่งด่วนไปยังผู้ใช้และผู้ดูแลระบบเพื่อขอให้ตรวจสอบคำแนะนำของ Cisco และทำการอัปเดตที่จำเป็น

ที่มา: bankinfosecurity.

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.