Cisco ได้แก้ไขช่องโหว่การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service หรือ DoS) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งช่องโหว่นี้ถูกค้นพบระหว่างการโจมตีแบบ large-scale brute force ที่เกิดขึ้นกับอุปกรณ์ Cisco VPN ในเดือนเมษายน

ช่องโหว่นี้มีหมายเลข CVE-2024-20481 และส่งผลกระทบต่อ Cisco ASA และ Cisco FTD ทุกเวอร์ชันจนถึงซอฟต์แวร์เวอร์ชันล่าสุด

เอกสารคำแนะนำด้านความปลอดภัยสำหรับ CVE-2024-20481 ระบุว่าเป็นช่องโหว่ในบริการ Remote Access VPN (RAVPN) ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) โดยเป็นช่องโหว่ที่อาจทำให้ผู้โจมตีจากภายนอกที่ไม่ได้ผ่านการยืนยันตัวตน สามารถทำให้บริการของ RAVPN ล่มจากการโจมตีแบบ Denial of Service (DoS) ได้

"ช่องโหว่นี้เกิดจากการที่ทรัพยากรถูกใช้จนหมด ซึ่งผู้โจมตีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งคำขอการยืนยันตัวตนสำหรับ VPN จำนวนมากไปยังอุปกรณ์ที่ได้รับผลกระทบ และถ้าการโจมตีสำเร็จจะทำให้ทรัพยากรถูกใช้งานจนหมด ส่งผลให้บริการ RAVPN ของอุปกรณ์ที่ได้รับผลกระทบเกิดการปฏิเสธการให้บริการ (DoS)"

Cisco ระบุว่าเมื่อการโจมตีแบบ DDoS นี้ส่งผลกระทบต่ออุปกรณ์ อาจจำเป็นต้องทำการรีโหลดอุปกรณ์เพื่อให้บริการ RAVPN กลับมาทำงานอีกครั้ง

โดยทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่า พวกเขาทราบถึงการโจมตีช่องโหว่นี้ที่กำลังเกิดขึ้น แต่ช่องโหว่นี้ไม่ได้ถูกใช้เพื่อโจมตีอุปกรณ์ Cisco ASA ในลักษณะของการโจมตีแบบ DoS

โดยช่องโหว่นี้ถูกค้นพบจากการโจมตีแบบ large-scale brute-force ที่เกิดขึ้นในเดือนเมษายน โดยมีการโจมตีรหัสผ่านของบริการ VPN บนอุปกรณ์เครือข่ายจำนวนมาก เช่น

Cisco Secure Firewall VPN
Checkpoint VPN
Fortinet VPN
SonicWall VPN
RD Web Services
Miktrotik
Draytek
Ubiquiti

การโจมตีเหล่านี้ถูกออกแบบมาเพื่อรวบรวมข้อมูลการเข้าสู่ระบบ VPN สำหรับเครือข่ายองค์กร ซึ่งข้อมูลเหล่านี้สามารถนำไปขายใน dark web และอาจส่งให้กับกลุ่มแรนซัมแวร์เพื่อใช้ในการเข้าถึงเครือข่าย หรือใช้โจมตีระบบเพื่อขโมยข้อมูล

อย่างไรก็ตาม เนื่องจากมีการส่งคำขอการยืนยันตัวตนต่อเนื่องจำนวนมาก และรวดเร็วไปยังอุปกรณ์ ทำให้ทรัพยากรของอุปกรณ์ถูกใช้ไปจนหมดโดยที่ผู้โจมตีไม่ได้ตั้งใจดำเนินการ ส่งผลให้อุปกรณ์ Cisco ASA และ FTD เกิดเหตุการณ์ Denial of Service

ช่องโหว่นี้จัดอยู่ในประเภทช่องโหว่แบบ CWE-772 ซึ่งระบุไว้ว่าซอฟต์แวร์ไม่ได้ทำการปล่อยทรัพยากรที่มีการจัดการไว้อย่างเหมาะสมระหว่างการยืนยันตัวตนในรูปแบบ VPN ยกตัวอย่างเช่น หน่วยความจำ

Cisco ระบุว่าช่องโหว่นี้สามารถถูกโจมตีได้ก็ต่อเมื่อมีการเปิดใช้บริการ RAVPN เท่านั้น

ผู้ดูแลระบบสามารถตรวจสอบได้ว่ามีการเปิดใช้งาน SSL VPN บนอุปกรณ์หรือไม่ โดยใช้คำสั่งต่อไปนี้

หากไม่มีเอาต์พุตแสดงว่าบริการ RAVPN ไม่ได้เปิดใช้งาน

ช่องโหว่อื่น ๆ ของ Cisco

นอกจากนี้ Cisco ยังได้ออกคำแนะนำด้านความปลอดภัย 37 ฉบับ สำหรับช่องโหว่ 42 รายการในผลิตภัณฑ์ต่าง ๆ รวมทั้งช่องโหว่ความรุนแรงระดับ Critical 3 รายการที่ส่งผลต่อ Firepower Threat Defense (FTD), Secure Firewall Management Center (FMC) และ Adaptive Security Appliance (ASA)

ในขณะนี้ แม้ว่าจะยังไม่พบการโจมตีที่ใช้ประโยชน์จากช่องโหว่เหล่านี้ แต่ด้วยความสำคัญ และความรุนแรงของช่องโหว่ ผู้ดูแลระบบที่มีอุปกรณ์ที่ได้รับผลกระทบควรเร่งทำการอัปเดตแพตช์โดยเร็วที่สุด

สรุปช่องโหว่มีดังนี้

CVE-2024-20424 (คะแนน CVSS v3.1: 9.9): เป็นช่องโหว่ Command injection flaw ใน web-based management interface ของซอฟต์แวร์ Cisco FMC ซึ่งเกิดจากการตรวจสอบ HTTP request ที่ไม่ถูกต้อง โดยช่องโหว่นี้จะอนุญาตให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนได้รับสิทธิ์ในระดับ Security Analyst ซึ่งสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้ตามต้องการ

CVE-2024-20329 (คะแนน CVSS v3.1: 9.9) : เป็นช่องโหว่ Remote command injection ใน Cisco ASA ซึ่งเกิดจากการตรวจสอบอินพุตของผู้ใช้ที่ไม่สมบูรณ์ในส่วนของคำสั่ง CLI แบบระยะไกลผ่าน SSH โดยช่องโหว่นี้ทำให้ผู้โจมตีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งบนระบบปฏิบัติการด้วยสิทธิ์ root ได้

CVE-2024-20412 (คะแนน CVSS v3.1: 9.3) : เป็นช่องโหว่ Static credentials ในอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200 ซึ่งอนุญาตให้ผู้โจมตีจากภายในเข้าถึงข้อมูลสำคัญ และแก้ไขการตั้งค่าได้อย่างไม่จำกัด

CVE-2024-20424 เป็นช่องโหว่ที่ส่งผลกระทบต่อผลิตภัณฑ์ของ Cisco ที่ใช้งาน FMC เวอร์ชันที่มีช่องโหว่ โดยไม่คำนึงถึงการกำหนดค่าอุปกรณ์ และ Cisco ยังไม่ได้ให้วิธีแก้ไขสำหรับช่องโหว่นี้

CVE-2024-20329 เป็นช่องโหว่ที่ส่งผลกระทบต่อเวอร์ชันของ ASA ที่มีการเปิดใช้ CiscoSSH stack และมีการอนุญาตให้เข้าถึง SSH ในส่วนของอินเทอร์เฟซอย่างน้อยหนึ่งรายการ

แนวทางแก้ปัญหาสำหรับช่องโหว่นี้คือการปิดการใช้งาน CiscoSSH stack โดยใช้คำสั่ง: no ssh stack ciscossh วิธีนี้จะตัดการเชื่อมต่อ SSH ที่กำลังใช้งาน และต้องบันทึกการเปลี่ยนแปลงเพื่อให้การตั้งค่ายังคงอยู่หลังการรีบูต

CVE-2024-20412 เป็นช่องโหว่ที่ส่งผลกระทบต่อซอฟต์แวร์ FTD ตั้งแต่เวอร์ชัน 7.1 ถึง 7.4 และ VDB release 387 หรือเวอร์ชันก่อนหน้านั้น ของอุปกรณ์ Firepower รุ่น 1000, 2100, 3100 และ 4200

Cisco ระบุว่ามีวิธีแก้ไขชั่วคราวสำหรับช่องโหว่นี้ โดยให้ทำการติดต่อศูนย์ Technical Assistance Center (TAC)

สำหรับช่องโหว่ CVE-2024-20412 Cisco ได้รวม signs of exploitation ไว้ในคำแนะนำเพื่อช่วยให้ผู้ดูแลระบบตรวจจับกิจกรรมที่เป็นอันตรายได้

แนะนำให้ใช้คำสั่งนี้เพื่อตรวจสอบการใช้ข้อมูลแบบ static credentials

หากมีการพยายามเข้าสู่ระบบสำเร็จ อาจเป็นสัญญาณของการถูกโจมตี และหากไม่มีผลลัพธ์ใดถูกส่งกลับมาแสดงว่าข้อมูล credentials ไม่ได้ถูกใช้ในช่วงเวลาการเก็บ Logs

ไม่มีคำแนะนำในการตรวจจับการโจมตีสำหรับ CVE-2024-20424 และ CVE-2024-20329 แต่การตรวจสอบ Logs สำหรับเหตุการณ์ที่ผิดปกติ หรือไม่ปกติเป็นวิธีที่ดีในการค้นหาพฤติกรรมที่น่าสงสัยเสมอ

ทั้งนี้ การอัปเดตของช่องโหว่ทั้งสามรายการสามารถดาวน์โหลดได้ผ่านเครื่องมือ Cisco Software Checker

ที่มา : bleepingcomputer

วันนี้ Cisco ยืนยันว่าได้ปิด public DevHub portal ของบริษัท หลังจากที่ผู้ไม่หวังดีได้เผยแพร่ข้อมูลที่เป็นความลับ แต่ Cisco ยังคงยืนยันว่าไม่มีหลักฐานว่าระบบของบริษัทถูกโจมตี (more…)

Cisco ได้ยืนยันกับ BleepingComputer ว่ากำลังตรวจสอบข้อกล่าวหาล่าสุดเกี่ยวกับการถูกละเมิดข้อมูล หลังจากมีผู้ไม่หวังดีเริ่มนำข้อมูลที่อ้างว่าขโมยมาไปขายในฟอรัมแฮ็ก (more…)

Cisco ออกมาแจ้งเตือนถึงช่องโหว่ Zero-days การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ซึ่งเป็นช่องโหว่ในอินเตอร์เฟซการจัดการผ่านเว็บของ IP phones รุ่น Small Business SPA 300 และ SPA 500 ที่หมดอายุการสนับสนุนไปแล้ว (end-of-life)

(more…)

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ Hacker สามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

(more…)

Check Point เปิดเผยการค้นพบกลุ่ม Hacker กำลังกำหนดเป้าหมายไปยังอุปกรณ์ VPN ของ Check Point เพื่อพยายามเข้าถึงเครือข่ายจากระยะไกล

ทั้งนี้การเข้าถึงจากระยะไกลผ่าน VPN ของ Check Point สามารถทำได้ 2 วิธีคือ client-to-site VPN สำหรับการเข้าถึงเครือข่ายองค์กรผ่าน VPN client หรือการเข้าถึงเครือข่ายองค์กรผ่าน SSL VPN Portal จาก web-based

โดย Check Point พบว่ากลุ่ม Hacker ได้มุ่งเป้าโจมตีไปยัง local account ที่มีการตั้งค่าการยืนยันตัวตนที่ไม่ปลอดภัย (password-only) เพื่อป้องกันการโจมตีดังกล่าว Check Point ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ local account ที่มีความเสี่ยงในลักษณะดังกล่าวใน Quantum Security Gateway และ CloudGuard Network Security product และบน Mobile Access และ Remote Access VPN software blade แล้วทำการเปลี่ยนวิธีการยืนยันตัวตนให้ปลอดภัยยิ่งขึ้น รวมถึงลบ local account ที่มีความเสี่ยงออกจาก Security Management Server database

นอกจากนี้ Check Point ยังได้ออก Security Gateway hotfix ที่จะบล็อก local account ทั้งหมดที่มีการยืนยันตัวตนแบบ password-only และจะไม่สามารถทำการ VPN เพื่อเข้าถึงเครือข่ายจากระยะไกลได้

Cisco VPN ก็ตกเป็นเป้าหมายการโจมตีด้วยเช่นกัน

ทั้งนี้ Check Point เป็นบริษัทที่สองต่อจาก Cisco ที่ได้ทำการแก้ไขช่องโหว่บน VPN หลังจากที่พบกลุ่ม Hacker มุ่งเป้าหมายในการโจมตีช่องโหว่ดังกล่าว

ในเดือนเมษายน 2024 Cisco ได้แจ้งเตือนพบการโจมตีแบบ brute-force โดยกำหนดเป้าหมายไปยัง VPN และ SSH service บนอุปกรณ์ Cisco, Check Point, SonicWall, Fortinet และ Ubiquiti ซึ่งแคมเปญการโจมตีดังกล่าว ได้เริ่มต้นตั้งแต่วันที่ 18 มีนาคม 2024 โดยมีการโจมตีที่มาจาก TOR exit node และใช้เครื่องมือต่าง ๆ รวมถึง proxy เพื่อหลีกเลี่ยงการตรวจจับ

Aaron Martin นักวิจัยด้านความปลอดภัย ได้เชื่อมโยงแคมเปญการโจมตีกับ botnet ที่พึงถูกค้นพบชื่อว่า "Brutus" ซึ่งควบคุม IP addresses กว่า 20,000 รายการใน cloud service และ residential network

นอกจากนี้ Cisco ยังได้เปิดเผยข้อมูลว่ากลุ่ม Hacker ที่ได้รับการสนันสนุนจากรัฐบาลในชื่อ UAT4356 (หรือที่เรียกว่า STORM-1849) ได้ใช้ช่องโหว่ Zero-day ในไฟร์วอลล์ Cisco Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) เพื่อโจมตีเครือข่ายของรัฐบาลทั่วโลกมาตั้งแต่เดือนพฤศจิกายน 2023 ในแคมเปญการโจมตีที่ถูกติดตามในชื่อ ArcaneDoor

ที่มา : bleepingcomputer

Cisco ออกคำแนะนำสำหรับลูกค้าเพื่อลดความเสี่ยงจากการโจมตีโดยวิธีการ password-spraying ที่กำลังมุ่งเป้าหมายไปที่บริการ Remote Access VPN (RAVPN) บนอุปกรณ์ไฟร์วอลล์ Cisco Secure (more…)

Cisco แจ้งเตือนช่องโหว่ RCE ระดับ Critical ใน communications software

Cisco แจ้งเตือนว่าผลิตภัณฑ์ Unified Communications Manager (CM) และ Contact Center Solutions หลายรายการ มีความเสี่ยงต่อช่องโหว่ด้านความปลอดภัยจากการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่มีความรุนแรงระดับ Critical (more…)

Cisco เปิดเผยการพบช่องโหว่ zero-day ระดับความรุนแรงสูง (CVE-2023-20273) ซึ่งคาดว่ากำลังถูกนำไปใช้ในการฝังมัลแวร์บนอุปกรณ์ IOS XE ที่มีช่องโหว่ ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day (CVE-2023-20198) ที่ถูกพบไปก่อนหน้านี้

โดยทาง Cisco จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ทั้ง 2 รายการนี้ในช่วงสุดสัปดาห์ โดยจะเริ่มตั้งแต่วันที่ 22 ตุลาคม 2023 ให้กับลูกค้าผ่านทางศูนย์ดาวน์โหลดซอฟต์แวร์ของ Cisco

ทั้งนี้เมื่อวันที่ 16 ตุลาคม 2023 Cisco ได้เผยแพร่รายงานการค้นพบ Hacker ใช้ช่องโหว่ zero-day (CVE-2023-20198) ในการ bypass authentication เพื่อเข้าสู่อุปกรณ์ IOS XE และสร้าง local user account ด้วยชื่อ "cisco_tac_admin" และ "cisco_support" โดยคาดว่า Hacker ได้เริ่มโจมตีมาตั้งแต่วันที่ 18 กันยายน 2023
**

CVE-2023-20273 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical ) เป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) เพื่อเข้าถึงสิทธิ์ Root และเข้าควบคุมอุปกรณ์ Cisco IOS XE ได้อย่างสมบูรณ์ รวมถึงทำการติดตั้งมัลแวร์ที่ทำให้สามารถเรียกใช้คำสั่งบนระบบได้

Censys และ LeakIX พบว่ามีอุปกรณ์ Cisco ที่ใช้ซอฟต์แวร์ IOS XE ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day 2 รายการนี้ไปแล้วกว่า 40,000 เครื่อง

โดยอุปกรณ์เครือข่ายที่ใช้ Cisco IOS XE ประกอบไปด้วย enterprise switches, access points, industrial wireless controllers และ branch routers

แม้ว่าการหาตัวเลขที่แน่นอนของจำนวนอุปกรณ์ Cisco IOS XE ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้นั้นเป็นเรื่องยาก แต่จากการค้นหาของ Shodan พบว่ามีระบบ Cisco IOS XE ที่มีช่องโหว่มากกว่า 146,000 รายการ ที่เสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ zero-day ดังกล่าว

โดย Cisco ประกาศว่าในขณะที่กำลังรอแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ดังกล่าว แนะนำให้ผู้ใช้งานปิดการใช้งานฟีเจอร์ HTTP server ที่มีช่องโหว่ บนระบบที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

รวมถึงทำการตรวจสอบอุปกรณ์ Cisco IOS XE ที่มีช่องโหว่ของตน ว่าถูกฝังมัลแวร์ไปแล้วหรือยัง โดยใช้เรียกใช้คำสั่งต่อไปนี้บนอุปกรณ์ โดยที่ "DEVICEIP" แสดงถึง IP address ที่อยู่ภายใต้การตรวจสอบ :
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2

Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์

ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้

• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability

การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้

Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว

ที่มา : thehackernews