ผู้ไม่หวังดีได้ใช้การโจมตีจากช่องโหว่ CVE-2025-20352 ซึ่งเป็นช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution) และช่องโหว่ดังกล่าวเพิ่งได้รับการแก้ไขไปเมื่อไม่นานมานี้ในอุปกรณ์เครือข่ายของ Cisco เพื่อทำการติดตั้ง rootkit และมุ่งเป้า (more…)

Cisco ทำการ patch 9 ช่องโหว่อันตรายของ remote code execution พบใน SNMP subsystem ที่กำลังใช้งานอยู่ใน IOS และ IOS XE software ซึ่งช่องโหว่ดังกล่าวถูกเปิดเผยออกสู่สาธารณชน ทาง Cisco ได้แจ้งเตือนไปยังผู้ใช้งานว่า patch สำหรับการ update พร้อมให้ download แล้ว Cisco IOS และ IOS XE ทุกตัวของ CISCO ได้รับผลกระทบหมด เช่นเดียวกันกับทุกเวอร์ชันของ SNMP(1, 2c และ 3) 9 ช่องโหว่ดังกล่าวข้างต้น อาจนำไปสู่การเข้าระบบโดยไม่ต้องทำการ authen ของผู้ที่โจมตีได้ เพื่อที่จะใช้ SNMP packet แบบเฉพาะที่สร้างขึ้นมาเจาะผ่านช่องโหว่ และทำการ execute code remotely หรือ สั่งให้ระบบทำการ reload ตัวเอง ระบบที่กำลังใช้งาน SNMP เวอร์ชัน 2c หรือก่อนหน้านั้นอาจถูกโจมตีได้หากผู้ที่โจมตีรู้ SNMP read-only community string สำหรับระบบนั้นๆ หากเป็นเวอร์ชัน 3 ผู้ที่โจมตีจะต้องรู้ข้อมูลเฉพาะของระบบนั้นถึงจะทำการโจมตีได้ หากทำสำเร็จผู้ที่โจมตีจะสามารถ execute arbitrary code และ เข้าควบคุมระบบนั้น หรือสั่งให้ระบบนั้น reload ตัวเองได้
Cisco ได้บอกว่า MIB (management information base) มีช่องโหว่ด้วยเช่นกัน ถึงแม้ว่า MIBs อาจไม่อยู่ในทุกระบบ หรือเวอร์ชัน แต่เมื่อมีอยู่จะถูกตั้งค่าให้ enabled Cisco ยังได้บอกอีกว่า MIBs จะไม่ถูกแสดงบนหน้าจอทุกตัว ถึงแม้จะมีการใช้คำสั่ง show snmp mib แต่อาจยังถูกตั้งให้ enabled ไว้อยู่ นอกจากนี้ทาง Cisco ยังได้แนะนำให้ทางผู้ดูแล Network ทำการเปลี่ยน password อยู่เป็นประจำ และให้เลือกใช้ password ที่มีจำนวน Character ไม่น้อย หรือเดาได้ง่าย
ที่มา : threatpost

Stringbleed ช่องโหว่บน SNMP agent ข้ามผ่านกระบวนการระบุตัวตนบนโปโตคอล SNMP
นักวิจัยด้านความปลอดภัย Ezequiel Fernandez และ Bertin Bervis ได้เปิดเผยช่องโหว่ใหม่บนหลายอุปกรณ์ภายใต้ชื่อ Stringbleed วันนี้ หลังจากทำการ fuzzing ผ่านโปรโตคอล SNMP และพบพฤติกรรมผิดปกซึ่งนำมาสู่การค้นพบช่องโหว่เป็นที่สุด
บนโปรโตคอล SNMPv1 และ SNMPv2 นั้น กระบวนการพิสูจน์ตัวตนเพื่อเข้าถึงข้อมูล MIB จะอาศัยการตรวจสอบค่าที่เรียกว่า community string ที่จะถูกเก็บอยู่ใน SNMP agent ซึ่งหากถูกต้องก็จะสามารถเข้าถึงข้อมูลได้ ช่องโหว่ Stringbleed นำเสนอผลลัพธ์ที่แตกต่างไปจากตามโปรโตคอลเมื่อนักวิจัยด้านความปลอดภัยทางสองคนพบว่าพวกเขา

สามารถใช้ community string ใดๆ ก็ได้เพื่อเข้าถึงข้อมูล MIB หรือพูดได้อีกอย่างว่า พวกเขาพบวิธีในการข้ามผ่านการระบุตัวตนโดย SNMP agent เพื่อเข้าถึงข้อมูลที่เป็นความลับได้
ผลลัพธ์ของการข้ามผ่านการระบุตัวตนทำให้ผู้โจมตีสามารถเขียนข้อมูลลงไปใน MIB ได้ และเข้าถึงข้อมูลอื่นๆ ใน MIB ได้ ผลลัพธ์นี้อาจแตกต่างออกไปในแต่ละอุปกรณ์ซึ่งในเบื้องต้นมีมากกว่า 150 อุปกรณ์ที่อาจได้รับผลกระทบช่องโหว่นี้

การทดสอบช่องโหว่นี้ทำได้ง่ายๆ เพียงแค่ใช้โปรแกรม เช่น snmpget ในการพยายามเข้าถึง MIB พร้อมกับ community string ใดๆ ก็ได้และพยายามดึงข้อมูล หากสามารถเข้าถึงข้อมูลได้ก็อาจสรุปได้ว่าอุปกรณ์มีช่องโหว่
ช่องโหว่ Stringbleed ได้รับรหัส CVE 2017-5135 แล้ว ในเบื้องต้นแนะนำให้ทำการตรวจสอบทุกๆ ทราฟิกที่ผ่านเข้ามาทางโปรโตคอล SNMP และยับยั้งการเข้าถึงหากจำเป็น สำหรับการแก้ไขช่องโหว่ในระยะยาวจำเป็นต้องรอแพตช์จากทางผู้ผลิตอุปกรณ์เท่านั้น

ที่มา: stringbleed