Cisco เปิดเผยการพบช่องโหว่ zero-day ระดับความรุนแรงสูง (CVE-2023-20273) ซึ่งคาดว่ากำลังถูกนำไปใช้ในการฝังมัลแวร์บนอุปกรณ์ IOS XE ที่มีช่องโหว่ ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day (CVE-2023-20198) ที่ถูกพบไปก่อนหน้านี้

โดยทาง Cisco จะทำการออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ทั้ง 2 รายการนี้ในช่วงสุดสัปดาห์ โดยจะเริ่มตั้งแต่วันที่ 22 ตุลาคม 2023 ให้กับลูกค้าผ่านทางศูนย์ดาวน์โหลดซอฟต์แวร์ของ Cisco

ทั้งนี้เมื่อวันที่ 16 ตุลาคม 2023 Cisco ได้เผยแพร่รายงานการค้นพบ Hacker ใช้ช่องโหว่ zero-day (CVE-2023-20198) ในการ bypass authentication เพื่อเข้าสู่อุปกรณ์ IOS XE และสร้าง local user account ด้วยชื่อ "cisco_tac_admin" และ "cisco_support" โดยคาดว่า Hacker ได้เริ่มโจมตีมาตั้งแต่วันที่ 18 กันยายน 2023
**

CVE-2023-20273 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical ) เป็นช่องโหว่การยกระดับสิทธิ์ (privilege escalation) เพื่อเข้าถึงสิทธิ์ Root และเข้าควบคุมอุปกรณ์ Cisco IOS XE ได้อย่างสมบูรณ์ รวมถึงทำการติดตั้งมัลแวร์ที่ทำให้สามารถเรียกใช้คำสั่งบนระบบได้

Censys และ LeakIX พบว่ามีอุปกรณ์ Cisco ที่ใช้ซอฟต์แวร์ IOS XE ซึ่งถูกโจมตีด้วยช่องโหว่ zero-day 2 รายการนี้ไปแล้วกว่า 40,000 เครื่อง

โดยอุปกรณ์เครือข่ายที่ใช้ Cisco IOS XE ประกอบไปด้วย enterprise switches, access points, industrial wireless controllers และ branch routers

แม้ว่าการหาตัวเลขที่แน่นอนของจำนวนอุปกรณ์ Cisco IOS XE ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้นั้นเป็นเรื่องยาก แต่จากการค้นหาของ Shodan พบว่ามีระบบ Cisco IOS XE ที่มีช่องโหว่มากกว่า 146,000 รายการ ที่เสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ zero-day ดังกล่าว

โดย Cisco ประกาศว่าในขณะที่กำลังรอแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ zero-day ดังกล่าว แนะนำให้ผู้ใช้งานปิดการใช้งานฟีเจอร์ HTTP server ที่มีช่องโหว่ บนระบบที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

รวมถึงทำการตรวจสอบอุปกรณ์ Cisco IOS XE ที่มีช่องโหว่ของตน ว่าถูกฝังมัลแวร์ไปแล้วหรือยัง โดยใช้เรียกใช้คำสั่งต่อไปนี้บนอุปกรณ์ โดยที่ "DEVICEIP" แสดงถึง IP address ที่อยู่ภายใต้การตรวจสอบ :
curl -k -X POST "https[:]//DEVICEIP/webui/logoutconfirm.

Cisco แจ้งเตือนถึงการพยายามใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE ที่ทำให้แฮ็กเกอร์ที่ผ่านการยืนยันตัวตน สามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้

ช่องโหว่ CVE-2023-20109 (ความรุนแรงระดับปานกลาง) มีคะแนน CVSS อยู่ที่ 6.6 โดยจะส่งผลต่อซอฟต์แวร์ทุกเวอร์ชันที่เปิดใช้งานโปรโตคอล GDOI หรือ G-IKEv2

Cisco ระบุว่าปัญหานี้เป็นผลมาจากการตรวจสอบคุณสมบัติของโปรโตคอล GDOI และ G-IKEv2 ของฟีเจอร์ GET VPN ที่ไม่เพียงพอ ทำให้เซิร์ฟเวอร์คีย์ที่ติดตั้งไว้ถูกโจมตี หรือแก้ไข configuration ของ group member เพื่อนำไปยังเซิร์ฟเวอร์ที่ถูกควบคุมโดยแฮ็กเกอร์

ช่องโหว่นี้ถูกค้นพบหลังจากการนำซอร์สโค้ดไปตรวจสอบ ภายหลังจากการพบการพยายามโจมตี GET VPN

การเปิดเผยดังกล่าวเกิดขึ้นเมื่อ Cisco ให้รายละเอียดช่องโหว่ 5 รายการใน Catalyst SD-WAN Manager (เวอร์ชั่น 20.3 ถึง 20.12) ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงอินสแตนซ์ที่ได้รับผลกระทบ หรือทำให้เกิด DoS บนระบบได้ดังนี้

• CVE-2023-20252 (CVSS score: 9.8) - Unauthorized Access Vulnerability
• CVE-2023-20253 (CVSS score: 8.4) - Unauthorized Configuration Rollback Vulnerability
• CVE-2023-20034 (CVSS score: 7.5) - Information Disclosure Vulnerability
• CVE-2023-20254 (CVSS score: 7.2) - Authorization Bypass Vulnerability
• CVE-2023-20262 (CVSS score: 5.3) - Denial-of-Service Vulnerability

การใช้ประโยชน์จากช่องโหว่นี้ อาจทำให้แฮ็กเกอร์สามารถเข้าถึงแอปพลิเคชันโดยไม่ได้รับอนุญาต โดยการ bypass authorization และการ roll back controller configurations รวมถึงสามารถเข้าถึงฐานข้อมูล Elasticsearch ของระบบ รวมไปถึง tenant ของผู้ใช้งานรายอื่นที่จัดการโดยบัญชีผู้ใช้รายเดียวกันได้

Cisco แนะนำให้ผู้ใช้งานอัปเกรดแพตซ์เป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหาช่องโหว่ดังกล่าว

ที่มา : thehackernews

Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย (more…)

Cisco แจ้งเตือนการพบช่องโหว่ที่มีระดับความรุนแรงสูง ซึ่งส่งผลกระทบต่อ data center switch model ที่ทำให้ Hacker สามารถถอดรหัส traffic encryption ได้ (more…)

Cisco เปิดเผยช่องโหว่ Zero-day ในซอฟต์แวร์ Prime Collaboration Deployment (PCD) ของบริษัท ซึ่งสามารถถูกนำมาใช้ในการโจมตีแบบ cross-site scripting

โดย utility สำหรับจัดการเซิร์ฟเวอร์นี้ช่วยให้ admin สามารถดำเนินการย้ายข้อมูล หรืออัปเกรด tasks บนเซิร์ฟเวอร์ขององค์กรได้

ช่องโหว่หมายเลข CVE-2023-20060 ในอินเทอร์เฟซ web-based การจัดการเครือข่ายของ (more…)

Cisco ได้ออกแพตช์อัปเดตสำหรับช่องโหว่ DoS ที่มีระดับความรุนแรงสูง ซึ่งมีหมายเลข CVE-2023-20049 (คะแนน CVSS 8.6) ในซอฟต์แวร์ IOS XR ซึ่งส่งผลกระทบต่อ Enterprise Routers หลายรุ่น

ช่องโหว่ดังกล่าวอยู่ในฟีเจอร์ hardware offload ใน bidirectional forwarding detection (BFD) ของซอฟต์แวร์ Cisco IOS XR สำหรับเราเตอร์ Cisco ASR 9000 Series Aggregation Services, ASR 9902 Compact High-Performance Routers และ ASR 9903 Compact High-Performance Routers

โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถโจมตีจากภายนอกได้โดยไม่ต้องผ่านการพิสูจน์ตัวตน (unauthenticated attackers) เพื่อทำการรีเซ็ต line card ส่งผลให้เกิดการปฏิเสธการให้บริการ (denial of service (DoS)) โดยการส่งแพ็คเก็ต IPv4 BFD ที่ถูกสร้างขึ้นเป็นพิเศษไปยังอุปกรณ์ที่มีช่องโหว่

ช่องโหว่นี้เกิดจากการจัดการที่ไม่เหมาะสมกับแพ็กเก็ต BFD ที่มีรูปแบบไม่ถูกต้อง บน line card ที่มีการเปิดใช้งานฟีเจอร์ BFD hardware offload

โดยช่องโหว่นี้ส่งผลกระทบเฉพาะ ASR 9000 Series Aggregation Services Routers ที่ติดตั้ง line card แบบ Lightspeed หรือ Lightspeed-Plus และ Compact High-Performance Routers รุ่น ASR 9902 และ ASR 9903

Cisco แนะนำวิธีแก้ปัญหาเบื้องต้นโดยให้ปิดการใช้งาน BFD hardware offload ด้วยการลบคำสั่งการเปิดใช้งานโมดูล hw bfw-hw-offload ทั้งหมดและรีเซ็ต line card

ซึ่งแพตช์อัปเดตสำหรับช่องโหว่นี้รวมอยู่ในซอฟต์แวร์ IOS XR เวอร์ชัน 7.5.3, 7.6.2 และ 7.7.1

 

ที่มา : securityaffairs, securityweek

Cisco ได้ประกาศแพตซ์อัปเดตช่องโหว่ระดับ critical ที่ถูกพบใน Web UI ของ IP phone หลายรุ่น ซึ่งส่งผลให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

โดยช่องโหว่มีหมายเลข CVE-2023-20078 ซึ่งเป็นช่องโหว่ที่สามารถแทรกคำสั่งที่เป็นอันตรายไปยังระบบ รวมถึงสามารถยกระดับสิทธิเป็น Root ภายหลังจากที่สามารถโจมตีสำเร็จ

โดย Cisco ยังได้ประกาศช่องโหว่ที่มีหมายเลข CVE-2023-20079 ซึ่งเป็นช่องโหว่ที่สามารถใช้ในการทำ Denial-of-Service (DoS) ได้

ซึ่งช่องโหว่ทั้งสองรายการทำให้เกิดข้อผิดพลาดในการตรวจสอบสิทธิ ทำให้สามารถถูกโจมตีด้วย request ที่เป็นอันตรายที่ถูกส่งไปยัง web-based management interface ของเป้าหมาย

ช่องโหว่ดังกล่าวถูกค้นพบ โดย Zack Sanchez จาก Cisco Advanced Security Initiatives Group (ASIG) ระหว่างการทดสอบความปลอดภัยของระบบภายใน

จากการตรวจสอบของทีม Product Security Incident Response Team (PSIRT) ยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว

อุปกรณ์ที่ได้รับผลกระทบ

รายการอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ มีดังนี้

Cisco IP Phone 6800, 7800 และ 8800 series ที่มีเฟิร์มแวร์หลายแพลตฟอร์ม (เสี่ยงต่อการโจมตีทั้ง RCE และ DoS)
Cisco Unified IP Conference Phone 8831
Cisco Unified IP Conference Phone 8831 Multiplatform Firmware
Cisco Unified IP Phone 7900 Series (เสี่ยงต่อการโจมตี DoS)

โดย Cisco จะออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20078 แต่จะไม่ออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20079 เนื่องจาก Cisco Unified IP Phone 7900 Series และ Cisco Unified IP Conference Phone 8831 เป็นอุปกรณ์ที่สิ้นสุดอายุการใช้งานแล้ว (end-of-life)

 

ที่มา : bleepingcomputer

จากการประกาศเตือนช่องโหว่บนเราเตอร์ที่ end-of-life (EoL) ประกอบไปด้วย CVE-2023-20025 ซึ่งเป็นช่องโหว่ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และ CVE-2023-2002 ซึ่งเป็นช่องโหว่ที่สามารถสั่งรันโค้ดที่เป็นอันตรายได้จากระยะไกล บนระบบปฏิบัติการของเราเตอร์ Cisco Small Business RV016, RV042, RV042G และ RV082 เมื่อสัปดาห์ก่อน ปัจจุบันทาง Censys บริษัทด้านความปลอดภัยทางไซเบอร์ ได้ตรวจสอบ และพบเราเตอร์ที่ end-of-life ที่มีช่องโหว่ และสามารถถูกเข้าถึงได้จากอินเทอร์เน็ตกว่า 19,000 ตัวเสี่ยงต่อการถูกโจมตี

การตรวจสอบ

จากการตรวจสอบของ Censys ที่ค้นหาเราเตอร์ Cisco ที่ end-of-life ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต โดยเฉพาะผ่านทาง HTTP services ที่มี model numbers ที่ได้จาก response header ของ 'WWW-Authenticate' หรือผ่านทาง HTTPS services ที่มี TLS organizational unit ที่ตรงกัน พบว่ามีประมาณ 20,000 เครื่อง ที่เสี่ยงต่อการถูกโจมตีจากช่องโหว่

โมเดล RV042 มีประมาณ 12,000 เครื่อง
โมเดล RV082 มีประมาณ 3,500 เครื่อง
โมเดล RV042 มีประมาณ 3,500 เครื่อง
โมเดล RV016 มี 784 เครื่อง

ซึ่งจากแผนภาพการแสดงแผนที่เราเตอร์ Cisco ที่ end-of-life (EoL) ที่สามารถเข้าถึงได้จากอินเทอร์เน็ตทั้งโลกจะพบว่ามีประเทศไทยติดอยู่ในนั้นด้วย

ปัจจุบัน ทาง Cisco ยังไม่ได้ออกอัปเดตด้านความปลอดภัย และไม่มีแผนที่จะออกอัปเดตให้กับเราเตอร์ Cisco ที่ end-of-life อีกต่อไป

วิธีการป้องกัน

ปิดใช้งานอินเทอร์เฟซการจัดการบนเว็ป และบล็อกการเข้าถึงพอร์ต 443 และ 60443 บนเราเตอร์เพื่อป้องกันการโจมตีช่องโหว่ และกำหนดค่าผ่านอินเทอร์เฟซ LAN แทน

ที่มา : bleepingcomputer

Cisco ยืนยันเรื่องการถูกโจมตีในเดือนพฤษภาคม และข้อมูลรั่วไหลโดยกลุ่มแรนซัมแวร์ Yanluowang เป็นข้อมูลที่ถูกขโมยจากระบบของ Cisco จริง ๆ

ในเดือนสิงหาคมที่ผ่านมา Cisco ออกมาเปิดเผยข้อมูลการถูกโจมตีจากกลุ่มแรนซัมแวร์ Yanluowang ที่สามารถเข้าถึงเครือข่ายขององค์กรได้ในช่วงปลายเดือนพฤษภาคม และขโมยข้อมูลภายในออกไป

การสืบสวนดำเนินการโดย Cisco Security Incident Response (CSIRT) และ Cisco Talos เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของพนักงานของ Cisco ได้ หลังจากที่แฮ็กบัญชี Google ส่วนตัวของพนักงานรายนั้นได้ก่อนหน้า และพบว่ามีการซิงโครไนซ์ข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์

เมื่อได้ข้อมูลแล้ว ผู้โจมตีก็เริ่มโจมตีแบบ voice phishing เพื่อหลอกให้เหยื่อให้กดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตี

จากนั้นหลังจากที่ผู้โจมตีสามารถเข้าถึง VPN ในฐานะของผู้ใช้ได้ ก็ทำการโจมตีแบบ voice phishing ต่อไปอีกหลายครั้ง เพื่อพยายามให้เหยื่อกดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตีต่อไปเรื่อย ๆ จนในที่สุดผู้โจมตีประสบความสำเร็จในการเข้าถึง VPN ของผู้ใช้งานที่เป็นเป้าหมายได้

จากรายงานของ Talos เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้แล้ว ผู้โจมตีก็ทำการโจมตีเพื่อยกระดับสิทธิ์จนได้สิทธิ์ของผู้ดูแลระบบ จากนั้นจึงสามารถเข้าถึงระบบภายในต่าง ๆ ได้ และสามารถติดตั้งเครื่องมือต่าง ๆ บนเครือข่ายเป้าหมาย ซึ่งรวมถึงเครื่องมือที่ใช้ในการเข้าถึงได้จากระยะไกล เช่น LogMeIn และ TeamViewer, Cobalt Strike, PowerSploit, Mimikatz และ Impacket

ในช่วงสุดสัปดาห์ที่ผ่านมา Cisco ยืนยันว่าข้อมูลที่เผยแพร่โดยกลุ่มแรนซัมแวร์ Yanluowang นั้นเป็นข้อมูลจริง และถูกขโมยจากเครือข่าย ระหว่างการบุกรุกในเดือนพฤษภาคมดังกล่าว อย่างไรก็ตามบริษัทระบุว่าการโจมตีครั้งนี้ไม่กระทบต่อธุรกิจ เนื่องจากข้อมูลที่ถูกขโมยออกไปไม่มีข้อมูลที่สำคัญ

จากข้อมูลของ BleepinComputer ซึ่งติดต่อกับหัวหน้ากลุ่มแรนซัมแวร์ Yanluowang ซึ่งอ้างว่าได้ขโมยไฟล์ขนาด 55GB ซึ่งรวมถึงเอกสารลับ แผนผังทางเทคนิค และซอร์สโค้ด โดย Cisco ยังคงปฏิเสธว่าผู้โจมตีสามารถเข้าถึงซอร์สโค้ดของผลิตภัณฑ์ของตนได้

เมื่อเร็ว ๆ นี้ นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ eSentire ค้นพบว่าระบบของผู้โจมตีที่ใช้ในการแฮ็ก Cisco นั้น ถูกใช้เพื่อโจมตีบริษัทการจัดการแรงงานชั้นนำในเดือนเมษายน 2022 อีกด้วย

ผู้เชี่ยวชาญยังคาดการณ์ด้วยว่าการโจมตีดังกล่าวทำโดยผู้คุกคามที่รู้จักกันในชื่อ mx1r ซึ่งเป็นสมาชิกของกลุ่มพันธมิตร Evil Corp ที่มีชื่อว่า UNC2165

ที่มา: securityaffairs

เมื่อวันพุธที่ 7 กันยายน 2565 Cisco ได้ออกแพตช์เพื่อแก้ไขช่องโหว่บนอุปกรณ์ของตน โดยในครั้งนี้มีแพตช์ของ NVIDIA Data Plane Development Kit (MLNX_DPDK) ที่พบเมื่อปลายเดือนกรกฎาคมด้วย โดยมีรายละเอียดดังต่อไปนี้

CVE-2022-28199 (คะแนน CVSS: 8.6) ช่องโหว่นี้เกิดจากการบริหารจัดการ Network Stack ของ MLNX_DPDK ที่ผิดพลาด ทำให้ผู้ไม่หวังดีสามารถโจมตีจนทำให้เกิดการปฏิเสธการให้บริการ (DoS) ได้ รวมไปถึงส่งผลกระทบทั้งในด้านความถูกต้อง และความน่าเชื่อถือของข้อมูล โดยอุปกรณ์ที่ได้รับผลกระทบในช่องโหว่นี้ได้แก่

Cisco Catalyst 8000V Edge Software
Adaptive Security Virtual Appliance (ASAv)
Secure Firewall Threat Defense Virtual (ชื่อเดิมคือ FTDv)

ต่อมาคือ CVE-2022-20696 (คะแนน CVSS: 7.5) ช่องโหว่นี้เกิดขึ้นกับอุปกรณ์ Cisco SD-WAN vManage Software โดยพบว่า Port Container ของ Messaging Server ไม่มีกลไกลการป้องกันที่ดีพอ ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้เชื่อมต่อเข้า Server โดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการเรียกดู และแก้ไขข้อความได้
ช่องโหว่สุดท้ายเกิดจากอินเทอร์เฟซการส่งข้อความของ Cisco Webex Application (CVE-2022-20863, คะแนน CVSS: 4.3) ที่ไม่สามารถแสดงอักขระพิเศษได้อย่างถูกต้อง ผู้ไม่หวังดีสามารถเข้าถึงจากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์ ทำการแก้ไขลิงก์หรือเนื้อหาอื่นๆ ภายในอินเทอร์เฟซเพื่อทำการโจมตีแบบ Phishing หรือ Spoofing ได้

นอกจากนี้ Cisco ยังชี้แจงรายละเอียดเกี่ยวกับ (CVE-2022-20923, คะแนน CVSS: 4.0) ซึ่งเกี่ยวกับ Authentication Bug ของเราเตอร์ Cisco Small Business รุ่น RV110W, RV130, RV130W, และ RV215W ว่าจะไม่ทำการแก้ไขช่องโหว่นี้แล้ว เนื่องจากผลิตภัณฑ์ใกล้จะ end-of-life (EOL) โดยแนะนำให้ผู้ใช้งานอุปกรณ์เหล่านี้เปลี่ยนไปใช้เราเตอร์ Cisco Small Business รุ่น RV132W, RV160, หรือ RV160W แทน

ที่มา : thehackernews