F5 ได้แจ้งเตือนช่องโหว่ร้ายแรง ที่ส่งผลกับอุปกรณ์ BIG-IP ทำให้สามารถ Denial-of-service (DoS) หรือการเรียกใช้ Code ต่าง ๆ ได้เวอร์ชันของ F5 BIG-IP ที่ได้รับผลกระทบมีดังนี้
Version 13.1.5
Version 14.1.4.6 – 14.1.5
Version 15.1.5.1 – 15.1.8
Version 16.1.2.2 – 15.1.3 และ 17.0.0
โดยช่องโหว่ดังกล่าวหมายเลข CVE-2023-22374 (ได้คะแนนจาก CVSS: 7.5/8.5) โดยทางผู้เชี่ยวชาญได้ออกมารายงานช่องโหว่นี้เมื่อ วันที่ 6 ธันวาคม 2022 โดยเป็นช่องโหว่ทีเกิดจาก iControl Simple Object Access Protocol (SOAP) สามารถทำงานในสิทธิ Root ได้ เมื่อผู้ไม่ประสงค์ดีเข้ามาก็จะได้รับสิทธิ Root ไปด้วย และสามารถเรียกใช้คำสั่งได้จากระยะไกลได้ ในการแก้ไขปัญหาเบื้อต้น User ที่สามารถเข้าใช้งาน iControl SOAP API ควรจะต้องเป็น User ที่น่าเชื่อถือเท่านั้น
Cisco ออก Patch เกี่ยวกับ Command Injection Bug in Cisco IOx
Cisco ได้ออก Patch เพื่อแก้ไขช่องโหว่บน Application environment บน Cisco
IOx ที่ส่งผลให้สามารถหลบการตรวจสอบด้านความปลอดภัยได้ และเรียกใช้ Code จากระยะไกลได้ รวมไปถึงการเรียกใช้งาน Payload เพื่อมาติดตั้ง
Malware และ Backdoor
ยังมีการใช้ CVE
-2023-20076 ที่เป็นช่องโหว่บน Application hosting
environment ที่ทำให้สามารถเลี่ยงการตรวจของระบบความปลอดภัยได้
และเรียกใช้คำสั่งที่เป็นอันตรายได้ด้วยสิทธิ Root บน Host
operating system
บริษัทด้านความปลอดภัยทางไซเบอร์ Trellix
ได้วิเคราห์ช่องโหว่ CVE-2023-20076 ที่สามารถเลี่ยงการตรวจสอบจากระบบความปลอดภัยได้
ด้วยไฟล์ TAR archive extraction ซึ่งจะอนุญาตให้ผู้โจมตีสามารถเข้าไปเขียนระบบพื้นฐานของ
OS ได้ด้วยสิทธิ Root และเรียกใช้คำสั่งจากระยะไกลเพื่อเรียกใช้
Payload ที่ใช้ในการติดตั้ง Backdoor รวมไปถึงสามารถฝังตัวอยู่ในระบบ แม้จะทำการรีบูตระบบ หรือการอัพเกรดเฟิร์มแวร์ก็ตาม
หากต้องการลบออกต้องรีเซ็ตเป็น ค่าเริ่มต้นจากโรงงานเท่านั้น
แม้ว่าการโจมตี จำเป็นต้องได้รับการยืนยันตัวตน
และมีสิทธิ์ระบบผู้ใช้ระบบ แต่ผู้ไม่ประสงค์ดีก็มีวิธีการที่หลากหลายในการไปให้ถึงระบบ Root เช่น Phishing
หรือ Social engineering เพื่อขดมยข้อมูล
ปัจจุบันทาง Cisco ได้ออก Patch ในการปิดช่องโหว่แล้ว ซึ่งช่องโหว่ดังกล่าวจะส่งผลกระทบต่ออุปกรณ์ที่ใช้ Cisco IOS EX และเปิดใช้งาน Cisco IOx
Cisco 800 Series Industrial
ISRs
Cisco Catalyst Access Points
Cisco CGR1000 Compute Modules
Cisco IC3000 Industrial
Compute Gateways
Cisco IR510 WPAN Industrial
Routers
การป้องการตอนนี้คือการเร่ง Patch ให้เร็วที่สุดเพื่อปิดช่องโหว่
Ref : thehackernews.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น