Cisco ได้ออกมาแจ้งเตือนลูกค้าถึงผลกระทบของช่องโหว่ Zero-day ใน Session Initiation Protocol (SIP) โดยช่องโหว่ได้รับ CVE-2018-15454 ช่องโหว่ กระทบอุปกรณ์ Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) ที่มีการใช้ SIP

ผู้โจมตีจะทำการ remote โดยที่ไม่ต้องทำการยืนยันสิทธิ์ผ่านช่องโหว่และทำให้เครื่องมีการใช้งาน CPU สูงขึ้น และเกิด Denial-of-Service ของระบบที่ถูกโจมตี ข้อบกพร่องนี้จะส่งผลต่อซอฟต์แวร์ ASA เวอร์ชัน 9.4 ขึ้นไปและซอฟต์แวร์ FTD เวอร์ชัน 6.0 หรือสูงกว่าหากมีการเปิดใช้งาน SIP โดย SIP จะถูกเปิดใช้งานเป็นค่าเริ่มต้น

รายชื่อผลิตภัณฑ์ที่ได้รับผลกระทบประกอบด้วย 3000 Series Industrial Security Appliance (ISA); ASA Virtual; ASA 5500-X firewall; ASA service modules for Catalyst 6500 และ 7600 switches และ routers; Firepower 2100, 4100 และ 9300; FTD Virtual

ขณะนี้ยังไม่มีแพทช์หรือวิธีแก้ปัญหา แต่สามารถป้องกันการโจมตีด้วยการปิดการตรวจสอบ SIP และกรองการรับส่งข้อมูลด้วยการตั้งค่า "Sent-by Address" เป็น 0.0.0.0 แทน

ที่มา:securityweek

สรุปย่อ
บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ใหม่ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip ที่ผลิตจาก Texas Instruments (TI) ทำให้เกิดเงื่อนไขที่ผู้โจมตีสามารถรันคำสั่งเป็นอันตรายได้จากระยะไกล (remote code execution) ส่งผลกระทบกับอุปกรณ์ที่ใช้ chip ดังกล่าวซึ่งรวมไปถึง Access point สำหรับ enterprise ที่ผลิตโดย Cisco, Meraki และ Aruba ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ภายในองค์กรว่าได้รับผลกระทบหรือไม่ และทำการอัปเดตแพตช์จากผู้ผลิตเพื่อความปลอดภัย

รายละเอียด
เมื่อวันที่ 1 พฤศจิกายน 2018 บริษัทด้านความปลอดภัยบน IoT (Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ประกาศการค้นพบช่องโหว่ใหม่ ชื่อว่า BLEEDINGBIT ภายใน Bluetooth Low Energy (BLE) chip โดยบริษัท Armis เป็นผู้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" เมื่อปี 2017 ที่ผ่านมาอีกด้วย

ในปัจจุบัน Bluetooth Low Energy หรือ Bluetooth 4.0 ถูกใช้งานอย่างแพร่หลายในอุปกรณ์ที่ส่งข้อมูลเพียงเล็กน้อยผ่าน Bluetooth เช่น smart home, smart lock, อุปกรณ์เพื่อสุขภาพ, อุปกรณ์กีฬาอัจฉริยะ และอุปกรณ์อื่นๆ อีกมาก ซึ่ง Bluetooth Low Energy มีระยะส่งสัญญาณกว่า 100 เมตร

Armis กล่าวว่าช่องโหว่ BLEEDINGBIT นี้ส่งผลกระทบกับผู้ผลิตอุปกรณ์ทั้งหมดที่ใช้ Bluetooth Low Energy chip ที่ผลิตจาก Texas Instruments (TI) ซึ่งจะรวมไปถึง Access point สำหรับ enterprise ผลิตโดย Cisco, Meraki และ Aruba ทำให้ผลกระทบจากช่องโหว่นี้กระจายเป็นวงกว้างเพราะทั้งสามเป็นผู้ผลิตครองยอดขายอุปกรณ์ Access point กว่า 70% โดยผู้โจมตีสามารถใช้ช่องโหว่ BLEEDINGBIT เพื่อทำ remote code execution บนอุปกรณ์ที่มีช่องโหว่ได้  หากอุปกรณ์ดังกล่าวเป็น Access point สำหรับ enterprise ผู้โจมตีจะสามารถโจมตีระบบเน็ตเวิร์คขององค์กรที่ใช้อุปกรณ์ที่มีช่องโหว่ได้โดยไม่ถูกตรวจจับได้
รายละเอียดทางเทคนิค
ช่องโหว่ BLEEDINGBIT ประกอบด้วย 2 ช่องโหว่ คือ ช่องโหว่รหัส CVE-2018-16986 และ ช่องโหว่รหัส CVE-2018-7080
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่ BLEEDINGBIT ตัวแรก (CVE-2018-16986) เป็นช่องโหว่ที่พบใน TI chip ที่ใช้ในหลายอุปกรณ์ เกิดเมื่อเปิดอุปกรณ์เปิด BLE ไว้ ผู้โจมตีที่อยู่ในระยะของสัญญาณสามารถดำเนินการโจมตีได้ในขั้นตอนดังนี้

ผู้โจมตีส่ง packet ที่สร้างมาไปยังอุปกรณ์ packet ดังกล่าวจะไม่เป็นอันตรายในตัวมันเอง แต่บรรจุ code อันตรายที่จะถูกใช้ในขั้นตอนต่อมา อุปกรณ์จะเก็บ packet ดังกล่าวไว้ใน memory ของอุปกรณ์ ซึ่ง Armis กล่าวว่าขั้นตอนนี้จะไม่สามารถตรวจจับได้ด้วย traditional security solutions
ผู้โจมตีส่ง overflow packet ไปยังอุปกรณ์ ทำให้เกิด memory overflow จนกระทั่งเกิดการรัน code ในข้อ 1

โดยเมื่อผู้โจมตีสามารถรัน code อันตรายได้แล้ว ผู้โจมตีจะสามารถติดตั้ง backdoor, ส่งคำสั่งต่างๆ ไปยังอุปกรณ์ ไปจนถึงควบคุมอุปกรณ์ดังกล่าวได้อย่างเบ็ดเสร็จ ซึ่ง Armis ได้วิจัยช่องโหว่นี้บน access point เท่านั้น ซึ่งหากผู้โจมตีสามารถควบคุม access point ได้ก็จะสามารถเข้าถึงระบบเน็ตเวิร์คได้ และสามารถโจมตีไปยังเครื่องอื่นๆ บนระบบเน็ตเวิร์คเดียวกันได้ (lateral movement)
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่ BLEEDINGBIT ตัวที่สองนี้กระทบเฉพาะ Aruba Access Point Series 300 เนื่องจากมีการใช้ความสามารถ OAD (Over the Air firmware Download) จาก TI  ซึ่ง TI แนะนำว่าความสามารถ OAD สามารถใช้ในช่วงการพัฒนาอุปกรณ์เท่านั้นและควรปิดเมื่ออุปกรณ์อยู่ในช่วง production

ถ้า access points มีการเปิดทิ้งความสามารถ OAD ไว้ ผู้โจมตีที่อยู่ในระยะจะสามารถเข้าถึง access points, ใช้ความสามารถ OAD เป็น backdoor และ install firmware ตัวอื่นๆ เพื่อเขียนทับ operating system ให้กับ access points ได้ ทำให้ผู้โจมตีสามารถควบคุม access point ดังกล่าวได้อย่างเบ็ดเสร็จ และสามารถโจมตีต่อเนื่องได้แบบเดียวช่องโหว่แรก

ใน access points ของ Aruba มีการเปิดใช้ความสามารถ OAD ไว้ในอุปกรณ์ที่วางขายแล้ว แม้ว่าจะมีการป้องกันความสามารถ OAD โดยการใส่ hardcode รหัสผ่าน แต่ผู้โจมตีสามารถหารหัสผ่านได้จากการดักจับอัปเดตจากผู้ผลิตหรือการ reverse engineering firmware
อุปกรณ์ที่ได้รับผลกระทบ
BLEEDINGBIT remote code execution (CVE-2018-16986)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นดังนี้

CC2640 (non-R2) ที่มี BLE-STACK รุ่น 2.2.1 หรือรุ่นก่อนหน้า
CC2650 ที่มี BLE-STACK รุ่น 2.2.1หรือรุ่นก่อนหน้า
CC2640R2F ที่มี SimpleLink CC2640R2 SDK รุ่น 1.00.00.22 (BLE-STACK 3.0.0)
CC1350 ที่มี SimpleLink CC13x0 SDK รุ่น 2.20.00.38 (BLE-STACK 2.3.3) หรือรุ่นก่อนหน้า

Armis รายงานว่าช่องโหว่ใน TI chip รุ่นที่กล่าวมาจะกระทบกับอุปกรณ์ Access points ดังนี้

Cisco Access points

Cisco 1800i Aironet Access Points
Cisco 1810 Aironet Access Points
Cisco 1815i Aironet Access Points
Cisco 1815m Aironet Access Points
Cisco 1815w Aironet Access Points
Cisco 4800 Aironet Access Points
Cisco 1540 Aironet Series Outdoor Access Point

Meraki Access points

Meraki MR30H AP
Meraki MR33 AP
Meraki MR42E AP
Meraki MR53E AP
Meraki MR74

ทั้งนี้ Armis ยังไม่ทราบแน่ชัดว่ามีอุปกรณ์จากผู้ผลิตอื่นๆ ได้รับผลกระทบจากช่องโหว่นี้หรือไม่
BLEEDINGBIT remote code execution (CVE-2018-7080)
ช่องโหว่นี้ส่งผลกระทบกับ TI chip รุ่นที่มีความสามารถ OAD

cc2642r
cc2640r2
cc2640
cc2650
cc2540
cc2541

และกระทบกับอุปกรณ์ Access points ของ Aruba ดังนี้

AP-3xx and IAP-3xx series access points
AP-203R
AP-203RP
ArubaOS 6.4.4.x prior to 6.4.4.20
ArubaOS 6.5.3.x prior to 6.5.3.9
ArubaOS 6.5.4.x prior to 6.5.4.9
ArubaOS 8.x prior to 8.2.2.2
ArubaOS 8.3.x prior to 8.3.0.4

คำแนะนำ

ผู้ดูแลระบบควรตรวจสอบอุปกรณ์ว่าได้รับผลกระทบหรือไม่ และสามารถอ่านวิธีแก้ไขและค้นหาแพตช์สำหรับอัปเดตได้จาก Cisco security advisory , Aruba security advisory และ Vulnerability Note VU#317277
ควรปิดการใช้งาน BLE หากไม่จำเป็น โดยสามารถอ่านวิธีปิดการใช้งาน BLE ของ Meraki ได้จากที่นี่
ผู้ผลิตที่ใช้ TI chip อ่านรายละเอียดเพิ่มเติมและค้นหาแพตช์ของ BLE-STACK สำหรับอัปเดตได้จาก http://www.

Ron Bowes และ Jeff McJunkin จาก Counter Hack ที่เป็นองค์กรที่จัดการแข่งขันแฮ็ก ได้ค้นพบช่องโหว่ใหม่ใน Cisco's WebEx ผู้โจมตีสามารถรันคำสั่งจากระยะไกลผ่าน WebEx client แม้ว่า WebEx ไม่ได้เปิดการเชื่อมต่อก็ตาม

ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลเป็นข้อผิดพลาดที่อนุญาตให้ผู้ใช้งานสามารถเชื่อมต่อและรันคำสั่งต่างๆกับแอพพลิเคชั่นที่มีช่องโหว่จากระยะไกลได้ นอกจากนี้ยังสามารถยกระดับสิทธิ์ในการรันคำสั่งได้อีกด้วย ช่องโหว่ดังกล่าวถูกค้นพบในขณะที่นักวิจัยด้านความปลอดภัยทั้งสองกำลังทำ pentest เพื่อหาทางยกสิทธิ์ของ local user โดยได้สังเกตเห็นว่า Cisco WebEx ใช้บริการที่เรียกว่า "WebexService" ที่สามารถถูก start และ stop ได้โดยใครก็ได้ และทำงานภายใต้สิทธิ์ system ทั้งสองได้ตั้งชื่อให้ช่องโหว่นี้ว่า "WebExec"

ทาง Cisco ได้ทำการแก้ไขช่องโหว่ดังกล่าวบน Cisco Webex Productivity Tools ในเวอร์ชัน 33.0.5 และใหม่กว่า และได้ให้รายละเอียดเพิ่มเติมว่า "Cisco Webex Productivity Tools จะได้รับการแทนที่ด้วย Cisco Webex Meetings Desktop App เมื่อมีการปล่อยเวอร์ชัน 33.2.0 ออกมา ผู้ใช้งานสามารถอัปเดตด้วยการเปิดแอปพลิเคชัน Cisco Webex Meetings และเลือกไปที่ "Settings" แล้วเลือก "Check for Updates" จาก drop-down list ซึ่งสามารถดูรายละเอียดเพิ่มเติมได้จากลิงก์ด้านล่าง

ลิงก์ --> [https://collaborationhelp.

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่ กว่าครึ่งเป็นช่องโหว่ร้ายแรงมากและช่องโหว่ร้ายแรง

Cisco ออกอัปเดทแก้ไขช่องโหว่ 30 ช่องโหว่โดยมี 3 ช่องโหว่เป็นช่องโหว่ร้ายแรงมาก (Critical) หนึ่งในนั้นคือช่องโหว่ที่ได้รับผลกระทบจากช่องโหว่ใน Apache Struts (CVE-2018-11776) Cisco อธิบายเพิ่มเติมว่าแม้ผลิตภัณฑ์ของ Cisco หลายตัวจะมีการใช้งาน Apache Struts แต่ได้รับผลกระทบจากช่องโหว่ดังกล่าวเพียงบางผลิตภัณฑ์เท่านั้นเนื่องจากวิธีการใช้งาน library ของแต่ละผลิตภัณฑ์แตกต่างกัน

อีก 2 ช่องโหว่ร้ายแรงที่ได้รับการแก้ไขเป็นช่องโหว่ใน Cisco Umbrella API (CVE-2018-0435) และใน Routers รุ่น RV110W, RV130W และ RV215W (CVE-2018-0423) และยังมีช่องโหว่ร้ายแรง (high) อีก 15 รายการ

ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดเพิ่มเติมเกี่ยวกับการอัปเดทครั้งนี้ได้ที่ https://tools.

Cisco ออกอัปเดตแก้ไขช่องโหว่รุนแรงระดับสูงใน StarOS และ IP Phone

Cisco ออกอัปเดตแก้ไขช่องโหว่ความรุนแรงระดับสูงซึ่งส่งผลให้เกิดการโจมตีในลักษณะ Denial of Service (DoS) ใน StarOS และช่องโหว่ความรุนแรงระดับสูงที่เกิดจากช่องโหว่ Command Injection ใน Web UI ของอุปกรณ์ IP Phone ตระกูล 6800, 7800 และ 8800

ช่องโหว่ DoS ใน StarOS ซึ่งได้รับรหัส CVE-2018-0369 เป็นช่องโหว่ซึ่งเมื่อระบบได้รับแพ็คเกต IPv4 ซึ่งมุ่งโจมตีช่องโหว่เข้ามา โปรเซส npusim จะทำการรีโหลดตัวเองจนทำการให้เกิดกรณีของ DoS ได้

ช่องโหว่ดังกล่าวกระทบ Cisco Virtualized Packet Core-Single Instance (VPC-SI) Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) และ Cisco Ultra Packet Core (UPC) ที่ใช้ StarOS

ช่องโหว่อีกหนึ่งรายการที่ได้รับการแก้ไขคือช่องโหว่รหัส CVE-2018-0341 ที่กระทบส่วน web-based UI ของ Cisco IP Phone ตระกูล 6800, 7800 และ 8800 เนื่องจากมีการทำ input validation ที่ไม่ครอบคลุม ทำให้ผู้โจมตีสามารถใส่คำสั่งเพื่อทำ command injection ได้

Recommendation ผู้ใช้งานสามารถดำเนินการอัปเดตแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีจากช่องโหว่นี้ได้โดยทันที

แหล่งที่มา: securityweek

Cisco ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยซึ่งปิดช่องโหว่กว่า 34 รายการสำหรับแพตช์ประจำเดือนมิถุนายน 2561 โดยมี 7 รายการเป็นช่องโหว่ระดับวิกฤติใน NX-OS และ FXOS ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อโจมตีอุปกรณ์ได้จากระยะไกล

สำหรับช่องโหว่ระดับวิกฤติ 4 จาก 7 ช่องโหว่ที่ส่งผลกระทบ NX-OS และ FXOS ล้วนแล้วแต่มีที่มีจาก Cisco Fabric Services และมีคะแนน CVSSv3 สูงถึง 9.8/10 คะแนน ที่มาของช่องโหว่ทั้ง 4 รายการนี้เกิดการที่ Cisco Fabric Services นั้นไม่มีการตรวจสอบแพ็คเกตที่ถูกส่งมาอย่างเหมาะสมพอ ทำให้ผู้โจมตีสามารถสร้างแพ็คเกตพิเศษและส่งตรงมาถึงอุปกรณ์ที่มีช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายได้โดยตรง หรือทำให้อุปกรณ์ไม่สามารถให้บริการได้

Recommendation แนะนำให้ผู้ดูแลระบบตรวจสอบรายการช่องโหว่ทั้งหมดที่มีการเปิดเผยในเดือนนี้อีกครั้งจากลิงค์ด้านล่าง รวมไปถึงทำการแพตช์เพื่อป้องกันการโจมตีช่องโหว่เหล่านี้
https://tools.

Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.

Cisco ประกาศแพตช์ช่องโหว่ครั้งใหญ่ ปิดช่อง WebEx รันโค้ดได้จากระยะไกล

นักวิจัยด้านความปลอดภัย Alexandros Zacharis จาก ENISA ได้แจ้งเตือนและประกาศการค้นพบช่องโหว่ระดับวิกฤติในซอฟต์แวร์ Cisco WebEx หลังจากค้นพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์แฟลชที่เป็นอันตรายซึ่งจะทำให้เกิดการรันโค้ดที่เป็นอันตรายได้

แม้ว่าช่องโหว่นี้จะยังไม่มีรายงานถึงการใช้งานในการโจมตีจริง แต่ก็เป็นช่องโหว่ที่ผู้ใช้งานควรทำการแพตช์เป็นอย่างสูงเนื่องจากความรุนแรงของช่องโหว่นี้นั้นสูงถึง 9 เต็ม 10 ะแนนจากมาตรฐาน CVSS ซึ่งวิธีการลดผลกระทบนี้นั้นไม่สามารถดำเนินการด้วยวิธีการอื่นได้นอกจากการแพตช์ โดยเวอร์ชันที่มีการแพตช์แล้วจะอยู่ในรุ่น T32.10

นอกเหนือจากแพตช์ของ WebEx แล้ว Cisco ยังได้มีการประกาศแพตช์ให้กับอีกหลายซอฟต์แวร์ในเครือ เช่น ช่องโหว่ใน Unified Computing System (UCS) แนะนำให้ตรวจสอบกับ Cisco Security Advisory และทำการอัปเดตโดยด่วน

ที่มา:theregister

เมื่อช่วงปลายเดือนที่ผ่านมา Cisco ได้มีการประกาศแพตช์ด้านความปลอดภัยให้กับซอฟต์แวร์ในตระกูล IOS, IOS XE และ IOS XR กว่า 20 รายการซึ่งโดยส่วนมาเป็นช่องโหว่ที่มีความร้ายแรงในระดับสูงหรือระดับสูงสุด

หนึ่งในช่องโหว่ที่ร้ายแรงสูดสุดนั้นคือช่องโหว่รหัส cisco-sa-20180328-smi2 ซึ่งเป็นช่องโหว่ที่อยู่ใน Software Smart Install ของ IOS และ IOS XE ซึ่งส่งผลให้ผู้ใช้งานโจมตีช่องโหว่ buffer overflow เพื่อรันโค้ดที่เป็นอันตรายได้ Cisco ยังมีการแพตช์ช่องโหว่ cisco-sa-20180328-xesc ซึ่งเป็นปัญหาที่เกิดจากการค้นพบว่ามีการฝังข้อมูลสำหรับเข้าสู่ระบบไว้ในอุปกรณ์ซึ่งสามารถทำให้ผู้ไม่ประสงค์ร้ายสามารถใช้ข้อมูลดังกล่าวซึ่งเหมือนกันในเกือบทุกระบบเพื่อเข้าถึงอุปกรณ์ได้จากระยะไกลได้

Recommendation: แนะนำให้ทำการตรวจสอบกับอุปกรณ์และทำการแพตช์หากพบว่าได้รับผลกระทบจากช่องโหว่โดยด่วน

ที่มา: us-cert.