Cisco แจ้งว่าพบช่องโหว่ Critical ในอุปกรณ์ Aironet access points (APs) บางรุ่น ทำให้โจมตีจากระยะไกลได้

ช่องโหว่ (CVE-2019-15260) มีสาเหตุมาจาก URL บางตัวที่กำหนดกำหนดการอนุญาตเข้าถึงไม่เพียงพอ ที่ยอมให้ผู้โจมตียกระดับสิทธิ์โดยการร้องขอไปยัง URL เหล่านั้นบนอุปกรณ์ Cisco Aironet AP ซึ่งการยกระดับสิทธิ์นี้ทำให้ผู้โจมตีสามารถดูข้อมูลสำคัญและแทนที่การตั้งค่าบางอย่างด้วยค่าที่พวกเขาเลือก โดยหมายรวมถึงการตั้งค่า wireless network ซึ่งทำให้ผู้โจมตีสามารถปิดการใช้งาน AP หรือ ทำให้เกิดการหยุดทำงาน (DoS) กับอุปกรณ์ที่เชื่อมต่อ AP ตัวนั้น

ช่องโหว่นี้มีผลกระทบต่อ Aironet AP ซีรี่ส์ 1540, 1560, 1800, 2800, 3800 และ 4800

นอกจากช่องโหว่ระดับ Critical แล้ว Aironet APs ยังได้รับผลกระทบจากสองช่องโหว่ระดับ high ที่สามารถใช้มันโดยไม่ต้องผ่านยืนยันตัว ทำให้เกิดการหยุดทำงาน (DoS) ได้ หนึ่งในข้อผิดพลาดมีผลกับฟังก์ชันการประมวลผลของ Point-to-Point Tunneling Protocol (PPTP) VPN แพ็คเกต ขณะที่อีกตัวอยู่ใน Control and Provisioning of Wireless Access Points (CAPWAP)

ผู้ดูแลระบบควรอัปเดตแพตช์ให้กับ Cisco Aironet APs

ที่มา : securityweek

Cisco ได้ทำการแก้ไขช่องโหว่ร้ายแรงมากสองช่องโหว่ในซอฟต์แวร์ Data Center Network Manager ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถยึดอุปกรณ์ที่ได้รับผลกระทบ

Cisco ออกแพตช์ให้กับ Data Center Network Manager (DCNM) ซึ่งเป็นแพลตฟอร์มการจัดการเครือข่ายของ Cisco สำหรับ Switch ที่ทำงานบนระบบปฏิบัติการเครือข่าย NX-OS รวมถึง Switch Cisco Nexus Series โดยรวมแล้วแพตช์นี้ได้ทำการแก้ไขข้อบกพร่อง 4 ข้อที่มีอยู่ในซอฟต์แวร์บนแพลตฟอร์มนี้ประกอบด้วย 2 ช่องโหว่ร้ายแรงมาก 1 ช่องโหว่ร้ายแรงและ 1 ช่องโหว่ระดับปานกลาง

หนึ่งในช่องโหว่ร้ายแรง CVE-2019-1620 เป็นช่องโหว่ในการอัปโหลดไฟล์โดยพลการซึ่งสามารถเปิดใช้งานการเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบ ผู้โจมตีสามารถอัปโหลดไฟล์ที่สร้างเป็นพิเศษขึ้นไปบนอุปกรณ์ที่ได้รับผลกระทบแล้วจะสามารถรันคำสั่งในสิทธิ์ root ได้ กระทบ DCNM รุ่นต่ำกว่า 11.2(1)

ส่วนอีกช่องโหว่ร้ายแรงคือ CVE-2019-1619 กระทบ DCNM รุ่นต่ำกว่า 11.1(1) เป็นช่องโหว่ที่ทำให้ผู้โจมตีหลบหลีกการยืนยันตัวตนและใช้สิทธิ์ระดับ administrative บนอุปกรณ์ได้

Pedro Ribeiro นักวิจัยด้านความปลอดภัยเป็นผู้ค้นพบทั้งสองช่องโหว่ร้ายแรง โดยรายงานต่อโปรแกรมช่องโหว่ Vulnerability Contributor ของ iDefense

สำหรับช่องโหว่ร้ายแรง CVE-2019-1621 ใน DCNM เกิดจากการตั้งค่าสิทธิ์ที่ไม่ถูกต้องและอาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ลอกอินเข้าถึงไฟล์สำคัญ และช่องโหว่ความรุนแรงปานกลาง (CVE-2019-1622) ที่เกิดจากการควบคุมการเข้าถึงที่ไม่เหมาะสมสำหรับ URL ในซอฟต์แวร์ DCNM และอาจทำให้ผู้โจมตีจากระยะไกลสามารถเรียกเข้าถึงข้อมูลสำคัญได้

นอกจากแพตช์นี้ Cisco ได้ทำการจัดการช่องโหว่หลายช่องโหว่มาตลอดเดือน รวมถึงช่องโหว่ที่สำคัญในศูนย์เครือข่ายดิจิตอล Digital Network Architecture (DNA) ซึ่งอาจทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถเข้าถึงบริการภายในที่สำคัญได้ และแก้ช่องโหว่ที่มีความรุนแรงสูงในซอฟต์แวร์สำหรับ Routers และ Switch ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถกำหนดค่าใหม่หรือเรียกใช้คำสั่งบนอุปกรณ์ที่ได้รับผลกระทบ

ที่มา: threatpost.

Cisco ประกาศแพตช์สำหรับช่องโหว่รุนแรงสูงใน IOS XE ผู้โจมตีสามารถยึดอุปกรณ์ได้

Cisco ประกาศแพตช์แก้ไขช่องโหว่ใน IOS XE ซึ่งเป็นโปรแกรมที่ใช้ใน routers และ switches ของ Cisco โดยช่องโหว่ดังกล่าวได้รับหมายเลข CVE-2019-1904 เป็นช่องโหว่ประเภท cross-site request forgery (CSRF) ในหน้า web UI ของ Cisco IOS XE โดยได้คะแนน CVSS 3.0 อยู่ที่ 8.8/10 จัดเป็นช่องโหว่ที่มีความรุนแรงสูง

ผู้โจมตีสามารถโจมตีช่องโหว่ได้โดยหลอกให้ผู้ใช้งานที่ล็อกอินหน้า web UI ของ Cisco IOS XE กดเข้าไปยัง link อันตราย เนื่องจากหน้า web UI ของ Cisco IOS XE ไม่มีการป้องกัน CSRF ผู้โจมตีจะสามารถใช้งานหน้า web UI ของ Cisco IOS XEได้ตามสิทธิ์ของผู้ใช้งานที่หลงกด link ดังกล่าว ซึ่งในกรณีที่ผู้ใช้งานดังกล่าวมีสิทธิ์ administrative ผู้โจมตีจะสามารถยึดอุปกรณ์ดังกล่าวได้

โดย Cisco แนะนำเครื่องมือที่มีชื่อว่า Cisco IOS Software Checker เพื่อให้ผู้ใช้งานตรวจสอบว่ามีช่องโหว่บน IOS XE หรือไม่ สามารถเข้าได้ที่ https://tools.

Cisco ประกาศแพตช์ช่องโหว่ระดับความร้ายแรงสูงสำหรับโซลูชัน Industrial และ Enterprise

Cisco ประกาศแพตช์สำหรับสองช่องโหว่ในโซลูชัน Cisco Industrial Network Director (IND) และ Cisco Unified Presence (Cisco Unified CM IM&P Service, Cisco VCS, and Cisco Expressway Series) วันนี้หลังจากมีการตรวจพบช่องโหว่ที่มีความร้ายแรงระดับสูง

สำหรับ Cisco IND นั้น มีการตรวจพบช่องโหว่รหัส CVE-2019-1861 ซึ่งเป็นช่องโหว่ประเภท Remote Code Execution โดยมีที่มาจากการไม่ตรวจสอบไฟล์ที่ถูกอัปโหลดไปยังแอปพลิเคชันอย่างเหมาะสม ส่งผลให้ผู้โจมตีสามารถอัปโหลดไฟล์ซึ่งเป็นอันตรายได้ด้วยสิทธิ์ของผู้ดูแลระบบ ช่องโหว่ได้คะแนน CVSSv3 เท่ากับ 7.2 โดยผู้ใช้งานสามารถทำการอัปเดตเป็น Cisco IND เวอร์ชัน 1.6.0 เพื่อรับการแก้ไขช่องโหว่ได้

สำหรับ Cisco Unfied Presence นั้น มีการตรวจพบช่องโหว่รหัส CVE-2019-1845 ซึ่งเป็นช่องโหว่ประเภท Denial-of-Service (DoS) ที่คะแนน CVSSv3 เท่ากับ 8.6 โดยที่มาของช่องโหว่นี้มาจากการที่ซอฟต์แวร์ไม่ได้มีการตรวจสอบกระบวนการทำงานซึ่งเกี่ยวข้องกับหน่วยความจำอย่างเหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งแพ็คเกตเฉพาะในโปรโตคอล Extensible Messaging and Presence Protocol (XMPP) เพื่อทำให้เกิดเงื่อนไข DoS ได้ รายการของผลิตภัณฑ์ที่มีช่องโหว่และเวอร์ชันที่มีการแก้ไขช่องโหว่แล้วสามารถตรวจสอบได้จาก Cisco Security Advisory ที่ tools.

Cisco อัพเกรด 3 ช่องโหว่ที่เกี่ยวข้องกับ remote code execution (RCE) ส่งผลกระทบกับ web management interfaces ความรุนแรงระดับ Critical ตามที่ Cisco เผยแพร่ล่าสุดวันที่ 15 พฤษภาคมและอัปเดตวันที่ 16 พฤษภาคมที่ผ่านมา พบช่องโหว่ CVE-2019-1821 ซึ่งผู้โจมตีสามารถอาศัยช่องโหว่ดังกล่าวเพื่อเข้าถึง admin interface ได้ทันทีโดยไม่ต้องระบุตัวตน ส่วนช่องโหว่ CVE-2019-1822 และ CVE-2019-1823 ยังต้องการ credentials ของผู้ดูแลระบบที่บันทึกไว้เพื่อเข้าถึง admin interface ช่องโหว่ทั้งสามนี้มีผลต่อซอฟต์แวร์เวอร์ชันต่อไปนี้: Cisco PI Software รุ่นก่อนหน้า 3.4.1, 3.5 และ 3.6 และ EPN Manager รุ่นก่อนหน้า 3.0.1

นอกจากนี้ยังพบช่องโหว่ SQL injection ระดับความรุนแรงสูง CVE-2019-1824 และ CVE-2019-1825 ซึ่ง อนุญาตให้ผู้โจมตีจากระยะไกล ผลิตภัณฑ์ที่อาจถูกโจมตีจากผู้โจมตีโดยการใช้ประโยชน์จากปัญหาซอฟต์แวร์ทั้งสองนี้คือ Cisco PI Software รุ่นก่อนหน้า 3.4.1, 3.5 และ 3.6 และ EPN Manager รุ่นก่อนหน้า 3.0.1

ที่มา : bleepingcomputer

แจ้งเตือนช่องโหว่ Thrangrycat และ RCE วาง Backdoor ใส่อุปกรณ์ Cisco จากระยะไกลด้วยช่องโหว่ฮาร์ดแวร์

ทีมนักวิจัยด้านความปลอดภัยจาก Red Balloon Security ได้มีการเปิดเผยช่องโหว่ใหม่ภายใต้ชื่อ Thrangrycat (CVE-2019-1649) วันนี้หลังจากมีการค้นพบและถูกแก้ไขโดย Cisco เมื่อปีที่ผ่านมา โดยช่องโหว่ดังกล่าวนั้นเมื่อใช้ร่วมกับช่องโหว่อื่นที่ทำให้ได้ผู้โจมตีได้สิทธิ์ root จะส่งผลให้ผู้โจมตีสามารถติดตั้งมัลแวร์ลงในอุปกรณ์ได้

ช่องโหว่ Thrangrycat เป็นช่องโหว่ในชิปความปลอดภัยพิเศษชื่อ Trust Anchor Module (TAm) ซึ่งอยู่ในอุปกรณ์ Cisco ตั้งแต่ปี 2013 การโจมตีช่องโหว่นี้นั้นจำเป็นต้องอาศัยสิทธิ์ของ root ในการแก้ไขค่า Field Programmable Gate Array (FPGA) นักวิจัยจาก Red Balloon Security ยังค้นพบช่องโหว่ RCE รหัส CVE-2019-1862 บนคอมโพเนนต์ Web UI ของ Cisco IOS XE ซึ่งทำให้ผู้โจมตีสามารถได้สิทธิ์ root กับอุปกรณ์ได้ การรวมกันของสองช่องโหว่นี้จะทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ลงในอุปกรณ์ได้

Recommendation :
ในขณะนี้ Cisco ได้มีการเผยแพร่ Security Advisory พร้อมแพตช์สำหรับช่องโหว่นี้แล้ว ผู้ใช้งานและผู้ดูแลระบบสามารถทำการตรวจสอบรายการของอุปกรณ์ที่ได้รับผลกระทบรวมไปถึงดาวโหลดแพตช์สำหรับทั้งสองช่องโหว่ได้จากลิงค์ด้านล่าง
Security Advisory ของช่องโหว่ Thrangrycat: https://tools.

Cisco แก้ไขข้อบกพร่องความรุนแรงระดับสูง 2 รายการที่ผู้โจมตีสามารถโจมตีระยะไกลมายังเครื่องเป้าหมายได้จนเกิดการหยุดทำงาน (DoS) เมื่อวันที่ 3 พฤษภาคม 2019

ช่องโหว่ที่มีผลกระทบได้กว้างที่สุดคือ CVE-2019-1721 ซึ่งเป็นข้อบกพร่องในส่วน phone-book ของ Cisco Expressway Series และ Cisco TelePresence Video Communication Server ซึ่ง Cisco แจ้งลูกค้าเมื่อวันศุกร์ที่ผ่านมาซึ่งระบุว่าข้อบกพร่องดังกล่าวอาจทำให้ผู้โจมตีควบคุมเครื่องจากระยะไกล สามารถทำให้ CPU เพิ่มการใช้งานได้ถึง 100 เปอร์เซ็นต์จนเกิดการหยุดทำงาน

อีกช่องโหว่ที่ทำให้เกิดการหยุดทำงานได้นั้นถูกสร้างขึ้นเมื่อเกิดการโจมตีโดยใช้จุดบกพร่องที่มีความรุนแรงสูง (CVE-2019-1694) ในส่วนประมวลผล TCP ของซอฟต์แวร์ Cisco Adaptive Security Appliance (ASA) และซอฟต์แวร์ Cisco Firepower Threat Defense (FTD) ในทุกอุปกรณ์ของ Cisco เครื่องเราเตอร์ Cisco 7600 series ไปจนถึง Adaptive Security Virtual Appliance

นอกจากนี้ Cisco ยังแก้ไขข้อผิดพลาดความรุนแรงระดับปานกลางอื่นๆ เมื่อวันที่ 3 พฤษภาคม 2019 อีกด้วย ได้แก่ ข้อผิดพลาด (CVE-2019-1712) ซึ่งเชื่อมโยงกับคุณสมบัติ Protocol Independent Multicast (PIM) ของซอฟต์แวร์ Cisco IOS XR ซึ่งใช้ในเราเตอร์ Cisco ASR 9000 ซีรี่ส์จำนวนหนึ่ง และช่องโหว่ (CVE-2019-1844) อาจทำให้ผู้โจมตีสามารถโจมตีจากระยะไกล สามารถข้ามฟังก์ชันการกรองของ Cisco Email Security Appliance ที่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถส่งอีเมลที่มีข้อความอันตรายได้

ผู้ดูแลระบบควรศึกษาคำแนะนำของ Cisco เพื่ออัปเดตผลิตภัณฑ์จาก tools.

Cisco แนะนำให้ลูกค้าทำการอัพเดตอุปกรณ์ wireless VPN และ firewall router เนื่องจากพบช่องโหว่ (CVSS 9.8) ทำให้โจมตีได้จากระยะไกลโดยที่ไม่ต้องตรวจสอบสิทธิ์ก่อน เพื่อสั่งรันคำสั่งที่เป็นอันตรายได้

ช่องโหว่ CVE-2019-1663 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Pen Test Partners ส่งผลกระทบต่อ Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router, และ Cisco RV215W Wireless-N VPN Router ช่องโหว่ดังกล่าวพบว่าอยู่ในส่วนการจัดการผ่านเว็บ (web-based management interface) สำหรับเราเตอร์ ทั้ง 3 รุ่น ผู้โจมตีสามารถส่งคำขอ HTTP ที่เป็นอันตรายไปยังอุปกรณ์เป้าหมายที่ได้รับผลกระทบและรันโค้ดที่เป็นอันตราย

Ryan Seguin วิศวกรของ Tenable กล่าวว่าช่องโหว่นี้เกิดจากปัญหาของ Input field สำหรับการ authentication เพื่อเข้าสู่ระบบ ส่งผลให้เกิด buffer overflow และสามารถสั่งรันคำสั่งได้จากหน่วยความจำของอุปกรณ์

ที่มา:threatpost

แฮกเกอร์มุ่งโจมตีเราเตอร์ Cisco RV320 และ RV325 หลังจากนักวิจัยเผยแพร่วิธีโจมตีช่องโหว่ล่าสุด
เมื่อวันที่ 23 มกราคม 2019 ที่ผ่านมา Cisco ได้ออกแพตช์แก้ไขช่องโหว่ CVE-2019-1653 และ CVE-2019-1652 ในเราเตอร์ Cisco รุ่น RV320 และ RV325
ช่องโหว่ทั้งสองมีความร้ายแรงมาก โดยช่องโหว่ CVE-2019-1653 ทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของเราเตอร์ได้จากระยะไกลโดยไม่ต้องใช้รหัสผ่าน และช่องโหว่ CVE-2019-1652 ทำให้ผู้โจมตีสามารถส่งคำสั่งในระดับผู้ดูแล (admin command) บนเราเตอร์ได้จากระยะไกลโดยไม่ต้องใช้รหัสผ่าน
ทั้งนี้ในวันที่ 24 มกราคม 2019 ห่างจากวันที่มีการออกแพตช์เพียงหนึ่งวัน นักวิจัยชื่อ David Davidson ได้เผยแพร่วิธีการโจมตีสำหรับช่องโหว่ทั้งสองสู่อินเตอร์เน็ต ทำให้เกิดการนำวิธีโจมตีดังกล่าวไปใช้ในการโจมตีอยู่ในขณะนี้
Troy Mursch ผู้ค้นพบการโจมตีช่องโหว่บนเราเตอร์ Cisco รุ่น RV320 และ RV325 กล่าวว่ายังมีเราเตอร์ทั้งสองรุ่นรวมกันกว่า 9,657 เครื่องที่ยังไม่ได้ทำการอัปเดตแพตช์ ทำให้มีความเสี่ยงในการถูกโจมตีอย่างมาก
Recommendation
ผู้ใช้งานและผู้ดูแลเราเตอร์ Cisco รุ่น RV320 และ RV325 ควรทำการอัปเดตเราเตอร์ให้เป็นรุ่นล่าสุด โดยศึกษาวิธีอัปเดตได้จาก https://tools.

Cisco ออกแพตช์แก้ไขช่องโหว่ใน Email Security Appliance ผู้โจมตีสามารถโจมตีได้เพียงส่งอีเมลเข้าสู่ระบบ

เมื่อวันที่ 9 มกราคม 2019 ที่ผ่านมา Cisco ออกแพตช์ความปลอดภัยให้กับผลิตภัณฑ์ในเครือ โดยมีการแก้ไขช่องโหว่ทั้งหมด 18 ช่องโหว่ในหลายผลิตภัณฑ์ รวมถึงช่องโหว่ที่สำคัญสองช่องโหว่ใน AsyncOS ที่ถูกใช้ใน Cisco Email Security Appliances คือช่องโหว่ CVE-2018-15453 และช่องโหว่ CVE-2018-15460

ช่องโหว่ CVE-2018-15453 มีความร้ายแรงมาก (critical) อาจจะทำให้เกิดการหยุดทำงานถาวร (permanent DoS) บนอุปกรณ์ที่ถูกโจมตีได้ ช่องโหว่นี้เกิดจากการตรวจสอบข้อมูลของอีเมลที่ใช้ S/MIME ไม่ดีพอ เมื่อได้รับข้อมูลในอีเมลที่ใช้ S/MIME ที่นอกเหนือความสามารถของระบบ จะทำให้ระบบหยุดทำงาน ซึ่งระบบจะพยายามกลับไปทำกระบวนการเดิมที่ทำให้หยุดทำงานซ้ำๆ จนเกิดการหยุดทำงานถาวร (permanent DoS) โดยผู้โจมตีสามารถโจมตีช่องโหว่ดังกล่าวได้เพียงแค่ส่งอีเมลเข้าสู่ระบบ

ช่องโหว่ CVE-2018-15460 เป็นข้อบกพร่องในความสามารถคัดกรองข้อความในอีเมลที่มี URL อยู่ใน whitelist ข้อบกพร่องดังกล่าวทำให้เมื่อผู้โจมตีสามารถส่งอีเมลที่มี URL อยู่ใน whitelist จำนวนมากๆ เข้าสู่ระบบ ทำให้ CPU ของระบบทำงานเต็มที่จนระบบหยุดทำงาน

ทั้งนี้ Cisco ยังไม่พบการโจมตีด้วยช่องโหว่ทั้งสองช่องโหว่ แต่ผู้ดูแลระบบความทำการอัปเดตเพื่อลดความเสี่ยง

ที่มา : threatpost