ช่องโหว่ F5 BIG-IP

F5 ได้ออกประกาศเผยแพร่ช่องโหว่ระดับความรุนแรงสูง ที่ส่งผลกระทบต่ออุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) จากการเรียกใช้งานคำสั่งจากระยะไกล

โดยช่องโหว่มีหมายเลข CVE-2023-22374 (คะแนน CVSS: 7.5/8.5 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่เกิดจากอินเทอร์เฟซ iControl Simple Object Access Protocol ( SOAP) เนื่องจากอินเทอร์เฟซ iCONtrol SOAP ทำงานในสิทธิ Root เมื่อ Hacker โจมตีสำเร็จก็จะได้สิทธิ Root ไปด้วย ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลได้

ซึ่งการโจมตีเกิดขึ้นโดยการแทรกอักขระสตริงรูปแบบใดก็ได้ลงในพารามิเตอร์การค้นหาที่ส่งผ่านไปยัง syslog โดยช่องโหว่ดังกล่าวถูกค้นพบ และรายงานช่องโหว่จากบริษัท Rapid7 เมื่อวันที่ 6 ธันวาคม 2022

F5 BIG-IP version ที่ได้รับผลกระทบ

version 13.1.5
version 14.1.4.6 - 14.1.5
version 15.1.5.1 - 15.1.8
version 16.1.2.2 - 16.1.3 และ 17.0.0

การป้องกัน

จำกัดการเข้าถึง iControl SOAP API ไว้เฉพาะผู้ใช้งานที่เชื่อถือได้เท่านั้น

ช่องโหว่ Command Injection ใน Cisco IOx

Cisco ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่บน application hosting environment บน Cisco IOx ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล รวมไปถึงเรียกใช้งานเพย์โหลดที่เป็นอันตราย เพื่อติดตั้งมัลแวร์ และ backdoor

CVE-2023-20076 (คะแนน CVSS: 7.2/10 ระดับความรุนแรงสูง) เป็นช่องโหว่โหว่บน application hosting environment ที่ทำให้สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลด้วยสิทธิ Root บน host operating system

Trellix บริษัทด้านความปลอดภัยทางไซเบอร์ เป็นผู้ที่ค้นพบช่องโหว่ดังกล่าว รวมถึงได้ทำการวิเคราะห์ และพบว่า ช่องโหว่ CVE-2023-20076 สามารถหลบเลี่ยงการตรวจสอบด้านความปลอดภัย ด้วยไฟล์ TAR archive extraction ซึ่งอาจอนุญาตให้เขียนใน host operating system ด้วยสิทธิ Root และเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกลเพื่อเรียกใช้งานเพย์โหลดที่เป็นอันตราย ในการติดตั้ง backdoor บนเครื่องที่ถูกโจมตี รวมไปถึงสามารถที่จะฝังตัวอยู่ในระบบ (Persistence) ถึงแม้จะมีการรีบูตระบบ และการอัปเกรดเฟิร์มแวร์ก็ตาม ซึ่งจะลบออกได้หลังจากรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานเท่านั้น

ถึงแม้ว่าในการโจมตีช่องโหว่ดังกล่าว จำเป็นต้องได้รับการพิสูจน์ตัวตน และมีสิทธิ์ของผู้ดูแลระบบ แต่ Hacker ก็มีหลากหลายวิธีที่จะเพิ่มระดับสิทธิ์บนระบบได้ เช่น phishing หรือการทำ social engineering เพื่อขโมยข้อมูลจากเหยื่อที่เป็นเป้าหมาย

ปัจจุบันทาง Cisco ได้ออกแพตซ์อัปเดตเพื่อปิดช่องโหว่ดังกล่าวแล้ว

อุปกรณ์ Cisco ที่ได้รับผลกระทบ

ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE และเปิดใช้งานคุณสมบัติ Cisco IOx

Cisco 800 Series Industrial ISRs
Cisco Catalyst Access Points
Cisco CGR1000 Compute Modules
Cisco IC3000 Industrial Compute Gateways
Cisco IR510 WPAN Industrial Routers

การป้องกัน

ผู้ดูแลระบบควรเร่งอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews