เมื่อวันพุธที่ผ่านมา Cisco ได้เปิดตัวแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย 8 รายการ ซึ่งในจำนวนนี้มีสามช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกล (RCE) ได้ โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ หรือยังสามารถทำให้เกิดเงื่อนไขปฏิเสธการให้บริการ (DoS) ได้

รายละเอียดการโจมตี

ช่องโหว่แรกกระทบกับ Cisco Router รุ่น RV160, RV260, RV340 และ RV345 Series โดยมี CVE ที่เกี่ยวข้องคือ CVE-2022-20842 (คะแนน CVSS: 9.8) ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ในการส่ง HTTP inout ที่สร้างขึ้นไปยังอุปกรณ์ที่ได้รับผลกระทบ หากโจมตีด้วยช่องโหว่นี้สำเร็จ จะส่งผลให้ผู้โจมตีสามารถรันโค้ดในฐานะผู้ใช้สิทธิ์สูงสุดอย่าง Root บนระบบปฏิบัติการ หรือทำให้อุปกรณ์รีสตาร์ทซึ่งถือว่าเป็นลักษณะการ DoS ได้
ช่องโหว่ที่สองเป็นช่องโหว่เกี่ยวกับคำสั่งอัปเดต Database ของฟีเจอร์ Web filter ซึ่งเป็นฟีเจอร์หนึ่งบน Cisco Router มี CVE ที่เกี่ยวข้องคือ CVE-2022-20827 (คะแนน CVSS: 9.0) ซึ่งทำให้ผู้โจมตีสามารถเข้าสู่ระบบ และดำเนินการรันโค้ดในฐานะผู้ใช้สิทธิ์สูงสุดอย่าง Root ได้
ช่องโหว่ที่สามคือ CVE-2022-20841 (คะแนน CVSS: 8.0) เป็นช่องโหว่ของโมดูลที่ชื่อว่า Open Plug-n-Play (PnP) ซึ่งหากใช้งานในทางที่ผิด จะสามารถส่งข้อมูลที่เป็นอันตรายสำหรับรันโค้ดบนเครื่อง Linux ของเป้าหมายได้
อุปกรณ์ที่ได้รับผลกระทบ มีดังต่อไปนี้

อย่างไรก็ตาม การใช้ประโยชน์จากช่องโหว่เหล่านี้นี้ ผู้โจมตีจะต้องใช้การโจมตีแบบ man-in-the-middle Attack หรือต้องอยู่ใน Network เดียวกับเราเตอร์ที่ได้รับผลกระทบ จึงจะสามารถดำเนินการได้

นอกจากนี้ Cisco ยังแก้ไขช่องโหว่ด้านความปลอดภัยระดับกลางอีก 5 รายการซึ่งส่งผลต่อ Webex Meetings, Identity Services Engine, Unified Communications Manager และ BroadWorks Application Delivery Platform

แนวทางการแก้ไข

ผู้ใช้งานควรทำการ Update แพตช์ทันที
ติดตามข่าวสารอย่างสม่ำเสมอ

ที่มา : thehackernews

Default Setting ใน Fortinet VPN อาจทำให้องค์กรมากว่า 200,000 องค์กรมีความเสี่ยงจากการถูกโจมตี

ผู้เชี่ยวชาญจาก SAM Seamless Network ได้เปิดเผยถึงความเสี่ยงจากการใช้ Certificate ด้วยค่าเริ่มต้นที่อาจส่งผลให้บริษัทและองค์กรกว่า 200,000 แห่งถูกโจมตีและอาจได้รับผลกระทบจากการใช้ Fortigate VPN ซึ่งอาจทำให้ผู้โจมตีสามารถใช้ SSL Certificate ที่ถูกต้องทำการโจมตีแบบ Man-in-the-Middle attack (MitM) ในการเชื่อมต่อและยังสามารถเข้าควบคุมการเชื่อมต่อได้

ผู้เชี่ยวชาญกล่าวว่าไคลเอนต์ Fortigate SSL-VPN จะตรวจสอบเฉพาะ CA ที่ออกโดย Fortigate หรือ CA ที่เชื่อถือได้อื่น ซึ่งเมื่อผู้โจมตีนำ Certificate จากเราเตอร์ Fortigate ใดๆก็ได้ ที่มี signed เริ่มต้นที่แถมมาให้ใช้กับหมายเลขซีเรียลของเราเตอร์ โดยผู้โจมตีสามารถนำ SSL Certificate ที่ได้มาใช้โจมตีในรูปแบบ MITM ได้เนื่องจากไคลเอนต์ของ Fortinet ไม่ได้ตรวจสอบชื่อเซิร์ฟเวอร์ ซึ่งหมายความว่า Certificate ที่ผู้โจมตีนำมาใช้นั้นจะสามารถใช้ trusted CA ได้และผู้โจมตียังสามารถกำหนดทราฟฟิกการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตีได้

ปัจจุบัน Fortinet แถลงว่าเหตุการณ์นี้ไม่ใช่ช่องโหว่ โดยในคู่มือการติดตั้งของ Fortinet ได้ระบุให้มีเปลี่ยน Certificate ที่เป็นค่าเริ่มต้น และ Fortinet มีคำเตือนเมื่อผู้ใช้ใช้ Certificate ที่เป็นค่าเริ่มต้นอยู่แล้ว ซึ่งผู้ใช้งานควรทำการเปลี่ยน Certificate เพื่อป้องกันการถูกโจมตี

ที่มา: thehackernews.

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง

แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ต

ที่มา : SEC Consult