Cisco ออกอัปเดตแก้ไขช่องโหว่รุนแรงระดับสูงใน StarOS และ IP Phone

Cisco ออกอัปเดตแก้ไขช่องโหว่ความรุนแรงระดับสูงซึ่งส่งผลให้เกิดการโจมตีในลักษณะ Denial of Service (DoS) ใน StarOS และช่องโหว่ความรุนแรงระดับสูงที่เกิดจากช่องโหว่ Command Injection ใน Web UI ของอุปกรณ์ IP Phone ตระกูล 6800, 7800 และ 8800

ช่องโหว่ DoS ใน StarOS ซึ่งได้รับรหัส CVE-2018-0369 เป็นช่องโหว่ซึ่งเมื่อระบบได้รับแพ็คเกต IPv4 ซึ่งมุ่งโจมตีช่องโหว่เข้ามา โปรเซส npusim จะทำการรีโหลดตัวเองจนทำการให้เกิดกรณีของ DoS ได้

ช่องโหว่ดังกล่าวกระทบ Cisco Virtualized Packet Core-Single Instance (VPC-SI) Cisco Virtualized Packet Core-Distributed Instance (VPC-DI) และ Cisco Ultra Packet Core (UPC) ที่ใช้ StarOS

ช่องโหว่อีกหนึ่งรายการที่ได้รับการแก้ไขคือช่องโหว่รหัส CVE-2018-0341 ที่กระทบส่วน web-based UI ของ Cisco IP Phone ตระกูล 6800, 7800 และ 8800 เนื่องจากมีการทำ input validation ที่ไม่ครอบคลุม ทำให้ผู้โจมตีสามารถใส่คำสั่งเพื่อทำ command injection ได้

Recommendation ผู้ใช้งานสามารถดำเนินการอัปเดตแพตช์เพื่อลดความเสี่ยงที่จะถูกโจมตีจากช่องโหว่นี้ได้โดยทันที

แหล่งที่มา: securityweek

Cisco ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยซึ่งปิดช่องโหว่กว่า 34 รายการสำหรับแพตช์ประจำเดือนมิถุนายน 2561 โดยมี 7 รายการเป็นช่องโหว่ระดับวิกฤติใน NX-OS และ FXOS ซึ่งส่งผลให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อโจมตีอุปกรณ์ได้จากระยะไกล

สำหรับช่องโหว่ระดับวิกฤติ 4 จาก 7 ช่องโหว่ที่ส่งผลกระทบ NX-OS และ FXOS ล้วนแล้วแต่มีที่มีจาก Cisco Fabric Services และมีคะแนน CVSSv3 สูงถึง 9.8/10 คะแนน ที่มาของช่องโหว่ทั้ง 4 รายการนี้เกิดการที่ Cisco Fabric Services นั้นไม่มีการตรวจสอบแพ็คเกตที่ถูกส่งมาอย่างเหมาะสมพอ ทำให้ผู้โจมตีสามารถสร้างแพ็คเกตพิเศษและส่งตรงมาถึงอุปกรณ์ที่มีช่องโหว่เพื่อรันโค้ดที่เป็นอันตรายได้โดยตรง หรือทำให้อุปกรณ์ไม่สามารถให้บริการได้

Recommendation แนะนำให้ผู้ดูแลระบบตรวจสอบรายการช่องโหว่ทั้งหมดที่มีการเปิดเผยในเดือนนี้อีกครั้งจากลิงค์ด้านล่าง รวมไปถึงทำการแพตช์เพื่อป้องกันการโจมตีช่องโหว่เหล่านี้
https://tools.

Cisco ประกาศแก้ไขช่องโหว่ที่เกี่ยวข้องกับบัญชีลับหรือ backdoor account เป็นครั้งที่สี่ในเดือนนี้หลังจากมีการตรวจพบถึงการมีอยู่ของรหัสผ่านในซอฟต์แวร์ Cisco Wide Area Application Services ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงการตั้งค่าของอุปกรณ์ได้

ช่องโหว่รหัส CVE-2018-0329 เกิดขึ้นหลังจากที่นักวิจัยด้านความปลอดภัย Aaron Blair จาก RIoT Solutions ไปค้นพบถึงการมีอยู่ของชุดสตริงนี้ซึ่งเป็น SNMP community string ในไฟล์ตั้งค่าของ SNMP daemon ซึ่งเขาเองยังพบอีกช่องโหว่หนึ่งรหัส CVE-2018-0352 โดยเป็นช่องโหว่ยกระดับสิทธิ์ใน Cisco WaaS ด้วย

ที่มา : bleepingcomputer

หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.

Cisco ประกาศแพตช์ช่องโหว่ครั้งใหญ่ ปิดช่อง WebEx รันโค้ดได้จากระยะไกล

นักวิจัยด้านความปลอดภัย Alexandros Zacharis จาก ENISA ได้แจ้งเตือนและประกาศการค้นพบช่องโหว่ระดับวิกฤติในซอฟต์แวร์ Cisco WebEx หลังจากค้นพบช่องโหว่ที่ทำให้ผู้โจมตีสามารถอัปโหลดไฟล์แฟลชที่เป็นอันตรายซึ่งจะทำให้เกิดการรันโค้ดที่เป็นอันตรายได้

แม้ว่าช่องโหว่นี้จะยังไม่มีรายงานถึงการใช้งานในการโจมตีจริง แต่ก็เป็นช่องโหว่ที่ผู้ใช้งานควรทำการแพตช์เป็นอย่างสูงเนื่องจากความรุนแรงของช่องโหว่นี้นั้นสูงถึง 9 เต็ม 10 ะแนนจากมาตรฐาน CVSS ซึ่งวิธีการลดผลกระทบนี้นั้นไม่สามารถดำเนินการด้วยวิธีการอื่นได้นอกจากการแพตช์ โดยเวอร์ชันที่มีการแพตช์แล้วจะอยู่ในรุ่น T32.10

นอกเหนือจากแพตช์ของ WebEx แล้ว Cisco ยังได้มีการประกาศแพตช์ให้กับอีกหลายซอฟต์แวร์ในเครือ เช่น ช่องโหว่ใน Unified Computing System (UCS) แนะนำให้ตรวจสอบกับ Cisco Security Advisory และทำการอัปเดตโดยด่วน

ที่มา:theregister

เมื่อช่วงปลายเดือนที่ผ่านมา Cisco ได้มีการประกาศแพตช์ด้านความปลอดภัยให้กับซอฟต์แวร์ในตระกูล IOS, IOS XE และ IOS XR กว่า 20 รายการซึ่งโดยส่วนมาเป็นช่องโหว่ที่มีความร้ายแรงในระดับสูงหรือระดับสูงสุด

หนึ่งในช่องโหว่ที่ร้ายแรงสูดสุดนั้นคือช่องโหว่รหัส cisco-sa-20180328-smi2 ซึ่งเป็นช่องโหว่ที่อยู่ใน Software Smart Install ของ IOS และ IOS XE ซึ่งส่งผลให้ผู้ใช้งานโจมตีช่องโหว่ buffer overflow เพื่อรันโค้ดที่เป็นอันตรายได้ Cisco ยังมีการแพตช์ช่องโหว่ cisco-sa-20180328-xesc ซึ่งเป็นปัญหาที่เกิดจากการค้นพบว่ามีการฝังข้อมูลสำหรับเข้าสู่ระบบไว้ในอุปกรณ์ซึ่งสามารถทำให้ผู้ไม่ประสงค์ร้ายสามารถใช้ข้อมูลดังกล่าวซึ่งเหมือนกันในเกือบทุกระบบเพื่อเข้าถึงอุปกรณ์ได้จากระยะไกลได้

Recommendation: แนะนำให้ทำการตรวจสอบกับอุปกรณ์และทำการแพตช์หากพบว่าได้รับผลกระทบจากช่องโหว่โดยด่วน

ที่มา: us-cert.

Cisco ประกาศแพตช์ด่วนให้แก่ช่องโหว่บน Adaptive Security Appliance (ASA) และ Firepower Threat Defense (FTD) หลังจากตรวจพบช่องโหว่ที่ความร้ายแรง 10.0/10.0 ที่ทำให้ผู้โจมตีที่ไม่ต้องเป็นผู้ใช้งานที่พิสูจน์ตัวตนแล้วสามารถรันโค้ดที่เป็นอันตรายหรือทำการ DoS อุปกรณ์ได้

ช่องโหว่ดังกล่าวซึ่งถูกประกาศเมื่อวันจันทร์ที่ผ่านมาได้รับการอัปเดตข้อมูลและความรุนแรงอีกครั้งหลังจาก Cisco ตรวจพบปัจจัยอื่นที่ทำให้ช่องโหว่ดังกล่าวมีความร้ายแรงมากขึ้น ช่องโหว่รหัส CVE-2018-0101 นี้มีที่มาจากการกระบวนการอ่านและแปลงค่า XML ซึ่งส่งผลให้ผู้โจมตีสามารถรันโค้ดที่เป็นอันตรายหรือบังคับให้เกิดเงื่อนไขเพื่อ DoS ระบบได้ อ้างอิงจากรายงานของ Cisco อุปกรณ์ ASA ที่มีช่องโหว่นั้นจะต้องมีการเปิดใช้งาน SSL หรือ IKEv2 VPN ด้วย

ทาง Cisco แนะนำให้ผู้ใช้งานอุปกรณ์หรือผลิตภัณฑ์ที่มีช่องโหว่ดังกล่าวทำการอัปเดตหรือดูข้อมูลเพิ่มเติมที่ https://tools.

Cisco ออก Patch อุดช่องโหว่ WebEx ซึ่งเป็นแพลตฟอร์มของการติดต่อสื่อสารหรือประชุมออนไลน์ ที่มีช่องโหว่ความรุนแรงระดับ Critical ส่งผลให้ผู้โจมตีสามารถทำ Remote Code Execution ได้
ช่องโหว่ 6 รายการ ส่งผลกระทบต่อ WebEx Network Recording Player สำหรับ Advanced Recording Format (ARF) และไฟล์ WebEx Recording Format (WRF) ทำให้ผู้บุกรุกสามารถโจมตีได้จากระยะไกลเพื่อทำให้เกิด Denial-of-Service (DoS) ในซอฟต์แวร์และอาจจะรันโค้ดที่เป็นอันตรายโดยการหลอกให้เหยื่อเปิดไฟล์ ARF หรือ WRF ที่สร้างขึ้นมาเป็นพิเศษ และผู้บุกรุกยังสามารถส่งไฟล์ที่เป็นอันตรายไปยังเหยื่อได้ทางอีเมลล์หรือสั่งให้เปิดเว็บโฮสติ้งได้อีกด้วย

ช่องโหว่ที่ได้รับการแก้ไข ได้แก่ WebEx Business Suite meeting sites, WebEx Meetings sites, WebEx Meetings Server, และ WebEx ARF และ WRF Players Cisco ให้ข้อมูลรายละเอียดเกี่ยวกับเวอร์ชันที่ได้รับผลกระทบและการแก้ไข โดยช่องโหว่ได้รับรหัส CVE ดังต่อไปนี้ : CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371 และ CVE-2017-12372
ช่องโหว่เหล่านี้ถูกรายงานโดย Andrea Micalizzi (rgod) และ Steven Seeley จาก Offensive Security โดยใช้ Zero Day Initiative ของ Trend Micro (ZDI)

ที่มา: securityweek

Cisco ได้ปรับปรุงแก้ไขช่องโหว่ใน WebEx Network Recording Player สำหรับรูปแบบการบันทึกไฟล์แบบ Advanced Recording Format(ARF) และ WebEx Recording Format(WRF) ซึ่งช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ Remote เข้ามาควบคุมเครื่องได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ ประกอบด้วย
• Cisco WebEx Business Suite (WBS30) client builds รุ่นก่อน T30.20
• Cisco WebEx Business Suite (WBS31) client builds รุ่นก่อน T31.14.1
• Cisco WebEx Business Suite (WBS32) client builds รุ่นก่อน T32.2
• Cisco WebEx Meetings with client builds รุ่นก่อน T31.14
• Cisco WebEx Meeting Server builds รุ่นก่อน 2.7MR

ทั้งนี้แนะนำให้ผู้ใช้งานทำการอัพเดทผลิตภัณฑ์ของตัวเองให้เป็นเวอร์ชั่นล่าสุด

ที่มา: us-cert

การดำเนินการเปลี่ยนแปลง Border Gateway Protocol (BGP) บน Ethernet VPN ทำให้เกิดช่องโหว่ในซอฟต์แวร์ IOE XE
Cisco ได้เปิดเผยการปรับปรุงซอฟต์แวร์สำหรับ IOS XE เพื่อแก้ไขปัญหาการโจมตีจากระยะไกลได้ โดยไม่ต้องพิสูจน์ตัวตน ทำให้เกิดข้อผิดพลาดหรือความเสียหายกับ BGP routing table ส่งผลให้เกิดความไม่เสถียรของเครือข่าย ได้รับรหัสเป็น CVE-2017-12319
Cisco กล่าวว่า IOS XE เวอร์ชันก่อนหน้า 16.3 ที่รองรับการใช้งาน BGP บน Ethernet VPN มีความเสี่ยง ผู้บุกรุกสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการส่งแพคเก็ต BGP ที่สร้างขึ้นมาให้กับอุปกรณ์ที่ได้รับผลกระทบ ทำให้ผู้โจมตีสามารถรีโหลด หรือสร้างความเสียหายต่อ BGP routing table ส่งผลให้เกิดการ DoS ได้

ที่มา : Threatpost