กลุ่มผู้ไม่ประสงค์ดี RedMike จากจีนกำลังโจมตีผู้ให้บริการโทรคมนาคมผ่านช่องโหว่ในอุปกรณ์ Cisco

    กลุ่มผู้ไม่ประสงค์ดีที่มีชื่อเสียง และได้รับการสนับสนุนจากรัฐบาลจีนได้มุ่งเป้าการโจมตีไปยังบริษัทโทรคมนาคมในสหรัฐฯ

    กลุ่มผู้ไม่ประสงค์ดีที่เป็นที่รู้จักในชื่อ RedMike ได้พยายามในการบังคับใช้กฎหมายของสหรัฐฯ ที่ต้องการทำลายระบบ back-end และหยุดการโจมตีทางไซเบอร์ โดยการโจมตีล่าสุดของ ผู้ไม่ประสงค์ดีกลุ่มนี้ มุ่งเป้าไปที่ช่องโหว่ที่เป็นที่รู้จักในอุปกรณ์ของ Cisco

    ผู้เชี่ยวชาญแนะนำให้ผู้ดูแลระบบควรตรวจสอบ และอัปเดตอุปกรณ์เครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด

    นักวิจัยจาก Recorded Future Insikt Group ระบุว่า พบกลุ่มผู้ไม่ประสงค์ดีกำลังโจมตีผู้ให้บริการโทรคมนาคมทั่วโลก รวมถึงผู้ให้บริการในสหรัฐอเมริกา

นอกจากนี้กลุ่ม RedMike ยังได้มุ่งเป้าการโจมตีไปที่สถาบันการศึกษาทั่วโลก โดยมีเป้าหมาย ได้แก่ อาร์เจนตินา, บังกลาเทศ, อินโดนีเซีย, มาเลเซีย, เม็กซิโก, เนเธอร์แลนด์, ไทย, สหรัฐอเมริกา และเวียดนาม ระบุว่า "RedMike ได้พยายามโจมตีโดยใช้ช่องโหว่ในอุปกรณ์ Cisco มากกว่า 1,000 เครื่องทั่วโลก"

    กลุ่ม RedMike มุ่งเป้าไปที่อุปกรณ์ Cisco IOS XE โดยการใช้ช่องโหว่สองรายการ คือ CVE-2023-20198 และ CVE-2023-2027

    ช่องโหว่ทั้งสองรายการ เป็นช่องโหว่ที่เกี่ยวข้องกับการยกระดับสิทธิ์ ซึ่งหากถูกใช้ในการโจมตีจะทำให้ผู้ไม่หวังดีสามารถควบคุมอุปกรณ์ด้วยสิทธิ์ของผู้ดูแลระบบได้

    แม้ว่าอุปกรณ์เครือข่ายอาจดูเหมือนไม่ได้ตกเป็นเป้าหมายที่สำคัญสำหรับผู้ไม่หวังดี แต่มันสามารถเป็นจุดเริ่มต้นที่สำคัญสำหรับกลุ่ม APT ที่ต้องการโจมตีเข้าไปในเครือข่ายภายในขององค์กร

นักวิจัยจากผู้ให้บริการด้านความปลอดภัย NCC Group ระบุว่า "โดยภาพรวมในระหว่างการโจมตี กลุ่มผู้ไม่ประสงค์ดีได้แสดงให้เห็นถึงความเข้าใจในเชิงลึกเกี่ยวกับสภาพแวดล้อมของเป้าหมาย รวมถึงการระบุช่องโหว่ เพื่อเตรียมตัวสำหรับการกลับมาโจมตีใหม่อีกครั้ง และยังใช้กลยุทธ์การโจมตีหลายรูปแบบ โดยผสมผผสานเครื่องมือที่เป็นที่รู้จัก และ backdoor ที่ถูกสร้างขึ้นเอง ซึ่งทำให้ยากต่อการตรวจจับ และป้องกัน"

    ในกรณีนี้เชื่อว่ากลุ่ม RedMike กำลังใช้วิธีการโจมตีใน 2 แนวทาง โดยผู้ไม่หวังดีจะพยายามเข้าถึงฐานข้อมูล และเซิร์ฟเวอร์ที่เก็บข้อมูลทรัพย์สินทางปัญญา และข้อมูลวิจัยที่มีค่าจากองค์กรที่เป็นเป้าหมาย รวมถึงการโจมตีเพื่อสอดแนมในบริษัทโทรคมนาคม

    Insikt Group อธิบายว่า "มหาวิทยาลัยส่วนใหญ่มีความเกี่ยวข้องกับงานวิจัยที่ทันสมัย จึงเป็นเป้าหมายหลักของกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลจีน เพื่อขโมยข้อมูลวิจัยที่มีค่า และทรัพย์สินทางปัญญา"

    การโจมตีเหล่านี้มีความน่าสนใจ เนื่องจากมันเกิดขึ้นท่ามกลางความตั้งใจของหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ที่จะทำลายเครือข่ายของ RedMike โดยการปิดบริษัทโฮสติ้งที่เชื่อว่าให้การสนับสนุนโครงสร้างพื้นฐานสำหรับการควบคุม และสั่งการของกลุ่มผู้ไม่ประสงค์ดี

    การโจมตีล่าสุด แสดงให้เห็นว่าในประเทศจีนยังมีผู้ให้บริการหลายรายที่ให้การสนับสนุนกลุ่มผู้ไม่ประสงค์ดี

    นักวิจัยอธิบายเพิ่มเติมว่า "ถึงแม้ว่าจะมีการรายงานจากสื่อจำนวนมาก และมีการคว่ำบาตรจากสหรัฐฯ แต่ Insikt Group คาดว่ากลุ่ม RedMike จะยังคงมุ่งเป้าโจมตีผู้ให้บริการโทรคมนาคมในสหรัฐฯ และทั่วโลกต่อไป เนื่องจากมีข้อมูลการสื่อสารที่มีมูลค่าสูงจำนวนมากที่ถูกส่งผ่านเครือข่ายเหล่านี้ สิ่งนี้แสดงให้เห็นด้วยการกำหนดเป้าหมายก่อนหน้านี้ของ RedMike ต่อการปฏิบัติการสกัดกั้นโดยชอบด้วยกฎหมายของสหรัฐฯ และการสื่อสารของบุคคลสำคัญทางการเมืองของสหรัฐฯ"

Ref : scworld.com

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ระดับ Critical (CVSS 9.9) บนระบบ Meeting Management

    Cisco ปล่อยแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical บนระบบ Meeting Management ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ผ่านการยืนยันตัวตนสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบน instances ที่มีช่องโหว่ได้

    ช่องโหว่นี้มีหมายเลข CVE-2025-20156 และมีคะแนน CVSS 9.9 เต็ม 10.0 ซึ่งถือว่าเป็นช่องโหว่การยกระดับสิทธิ์ใน REST API ของ Cisco Meeting Management

    Cisco ระบุว่า “ช่องโหว่นี้เกิดขึ้นเนื่องจากไม่มีการ enforced authorization ที่เหมาะสมสำหรับผู้ใช้ REST API ทำให้ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง API request ไปยัง specific endpoint” หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีได้รับสิทธิ์ในระดับผู้ดูแลระบบ และจะสามารถควบคุม edge nodes ที่ managed โดย Cisco Meeting Management ได้

    Cisco ให้เครดิตแก่ Ben Leonard-Lagarde จาก Modux เป็นผู้ค้นพบช่องโหว่ดังกล่าว โดยช่องโหว่นี้ส่งผลกระทบต่อเวอร์ชั่นของผลิตภัณฑ์ดังต่อไปนี้:

• Cisco Meeting Management เวอร์ชัน 3.9 (ได้รับการแก้ไขแล้วในเวอร์ชั่น 3.9.1)
• Cisco Meeting Management เวอร์ชัน 3.8 และเวอร์ชันก่อนหน้า (ควรอัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไข)
• Cisco Meeting Management เวอร์ชัน 3.10 (ไม่ได้รับผลกระทบ)

    Cisco ยังได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่การโจมตีแบบ Denial-of-Service (DoS) ที่ส่งผลกระทบต่อ BroadWorks ซึ่งเกิดจากการจัดการหน่วยความจำที่ไม่เหมาะสมสำหรับ Session Initiation Protocol (SIP) requests บางประเภท (CVE-2025-20165, คะแนน CVSS: 7.5) โดยช่องโหว่นี้ได้รับการแก้ไขแล้วในเวอร์ชัน RI.2024.11

    Cisco ระบุว่า “ผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่นี้ได้โดยการส่ง SIP requests จำนวนมากไปยังระบบที่ได้รับผลกระทบ”

    "หากการโจมตีประสบความสำเร็จ อาจทำให้ผู้ไม่ประสงค์ดีสามารถใช้หน่วยความจำที่จัดสรรให้กับ Cisco BroadWorks Network Servers จัดการกับ SIP traffic จนหมด หากหน่วยความจำไม่เพียงพอ Network Servers จะไม่สามารถประมวลผล requests ขาเข้าได้อีก ส่งผลให้เกิดการ DoS ที่ต้องเข้าไปแก้ไขด้วยตนเองเพื่อที่จะสามารถกู้คืนระบบให้กลับมาใช้งานได้อีกครั้ง"

    ช่องโหว่อีกรายการที่ Cisco ได้แก้ไขคือ CVE-2025-20128 (คะแนน CVSS: 5.3) ซึ่งเป็น bug ของ integer underflow ที่ส่งผลกระทบต่อกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ใน ClamAV และอาจนำไปสู่การโจมตีแบบ DoS ได้

    Cisco ได้ให้เครดิตกับ Google OSS-Fuzz สำหรับการรายงานช่องโหว่นี้ และระบุว่าทราบถึงการมีโค้ดการโจมตี (Proof-of-concept - PoC) ถูกปล่อยออกสู่สาธารณะ แม้ว่าจะยังไม่มีหลักฐานว่าช่องโหว่นี้ถูกนำไปใช้งานจริงก็ตาม

CISA และ FBI เปิดเผยรายละเอียดเกี่ยวกับวิธีการโจมตีของ Ivanti

    ในขณะที่มีข่าวเรื่องช่องโหว่ของ Cisco รัฐบาลสหรัฐฯ CISA และ FBI ได้ออกมาเปิดเผยรายละเอียดทางเทคนิค และวิธีการโจมตีที่แฮ็กเกอร์ใช้ในการโจมตีระบบคลาวด์ของ Ivanti เมื่อเดือนกันยายน 2024 ที่ผ่านมา

ช่องโหว่ที่เกี่ยวข้องมีดังต่อไปนี้:

• CVE-2024-8963, ช่องโหว่แบบ Administrative bypass
• CVE-2024-9379, ช่องโหว่แบบ SQL injection
• CVE-2024-8190 และ CVE-2024-9380 ช่องโหว่แบบ Remote code execution ทั้ง 2 รายการ

    จากรายงานของ CISA และ FBI วิธีการโจมตีมี 2 แบบ แบบแรกใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-8190 และ CVE-2024-9380 ส่วนแบบที่สองใช้ CVE-2024-8963 ร่วมกับ CVE-2024-9379

Fortinet FortiGuard Labs ได้เปิดเผยวิธีการโจมตีแบบแรกเมื่อเดือนตุลาคม 2024 ที่ผ่านมา เชื่อว่าผู้ไม่ประสงค์ดีได้พยายามเจาะเข้าไปยังส่วนอื่น ๆ ของระบบหลังจากที่สามารถเข้าถึงระบบเบื้องต้นได้สำเร็จ

สำหรับการโจมตีแบบที่สอง พบว่าผู้ไม่ประสงค์ดีใช้ช่องโหว่ CVE-2024-8963 ร่วมกับ CVE-2024-9379 เพื่อเข้าถึงเครือข่ายเป้าหมาย หลังจากนั้นก็พยายามติดตั้ง web shells เพื่อเข้าควบคุมระบบอย่างต่อเนื่อง แต่ไม่สำเร็จ

    ทาง CISA และ FBI ยังระบุอีกว่า “ผู้ไม่ประสงค์ดีใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงระบบเบื้องต้น หลังจากนั้นจะดำเนินการเรียกใช้โค้ดที่เป็นอันตรายระยะไกล (RCE), ขโมยข้อมูล credentials และติดตั้ง web shells บนเครือข่ายของเหยื่อ ส่วนข้อมูล Credentials และ Sensitive data ที่ถูกจัดเก็บไว้ในอุปกรณ์ Ivanti ที่โดนโจมตี ให้คาดว่าถูกขโมยไปแล้ว”

Ref : thehackernews

Cisco แจ้งเตือนช่องโหว่ Denial of Service ที่พบว่ามี PoC exploit code แล้ว

    Cisco ปล่อยแพตช์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ Denial-of-Service (DoS) ใน ClamAV ซึ่งปัจจุบันพบว่ามี Proof-of-Concept (PoC) exploit code ที่สามารถใช้ในการโจมตีได้

    ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-20128 เป็นช่องโหว่ที่เกิดจาก Heap-based Buffer Overflow ในกระบวนการถอดรหัส Object Linking and Embedding 2 (OLE2) ซึ่งทำให้ผู้ไม่ประสงค์ดีจากภายนอกที่ไม่ต้องผ่านการยืนยันตัวตน สามารถทำให้เกิด DoS บนอุปกรณ์ที่มีช่องโหว่ได้

    หากสามารถโจมตีช่องโหว่นี้ได้สำเร็จ อาจทำให้กระบวนการทำงานของ ClamAV antivirus หยุดทำงาน ส่งผลให้การสแกนไวรัสหยุดชะงัก หรือไม่สามารถดำเนินการต่อได้

    Cisco ระบุว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่นี้โดยการส่งไฟล์ที่ถูกสร้างขึ้นมาแบบพิเศษ ที่มีเนื้อหาแบบ OLE2 เพื่อให้ ClamAV บนอุปกรณ์ที่ได้รับผลกระทบทำการสแกน ซึ่งการโจมตีที่สำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถยุติกระบวนการสแกนของ ClamAV ส่งผลให้เกิดการ DoS บนซอฟต์แวร์ที่มีช่องโหว่ได้

    อย่างไรก็ตาม ในคำแนะนำที่ออกในวันนี้บริษัทระบุว่า ระบบโดยรวมจะไม่ได้รับผลกระทบแม้ว่าการโจมตีจะประสบความสำเร็จก็ตาม

    รายชื่อผลิตภัณฑ์ที่มีความเสี่ยงได้แก่ซอฟต์แวร์ Secure Endpoint Connector สำหรับแพลตฟอร์มที่ใช้ Linux, Mac และ Windows ซึ่งโซลูชันนี้จะช่วยนำ audit logs และ events ของ Cisco Secure Endpoint เข้าไปในระบบ SIEM แบบเดียวกับ Microsoft Sentinel

PoC สำหรับการโจมตี แต่ยังไม่พบการโจมตีจริงในปัจจุบัน

    ในขณะที่ทีม Cisco Product Security Incident Response Team (PSIRT) ระบุว่ายังไม่มีหลักฐานการโจมตีที่เกิดขึ้นจริง แต่อย่างไรก็ตามพบว่ามีโค้ดสำหรับการโจมตีช่องโหว่ CVE-2025-20128 ถูกปล่อยออกมาแล้ว

    วันที่ 22 มกราคม 2025 Cisco ได้ปล่อยแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัย DoS ใน Cisco BroadWorks (CVE-2025-20165) และช่องโหว่ระดับ Critical ที่เกี่ยวข้องกับการยกระดับสิทธิ์ใน Cisco Meeting Management REST API (CVE-2025-20156) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็นผู้ดูแลระบบบนอุปกรณ์ที่มีช่องโหว่ได้

    ในเดือนตุลาคมที่ผ่านมา Cisco ได้แก้ไขช่องโหว่ DoS อีกรายการหนึ่ง (CVE-2024-20481) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ซึ่งถูกพบระหว่างแคมเปญการโจมตีแบบ Brute Force ขนาดใหญ่ที่มุ่งเป้าไปยังอุปกรณ์ Cisco Secure Firewall VPN ในเดือนเมษายน 2024

    หนึ่งเดือนถัดมา Cisco ได้แก้ไขช่องโหว่ระดับ Critical (CVE-2024-20418) ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root บนอุปกรณ์ Ultra-Reliable Wireless Backhaul (URWB) ในส่วนของ industrial access points ที่มีช่องโหว่ได้

Ref : bleepingcomputer

Cisco สอบสวนเหตุละเมิดหลังจากข้อมูลที่ถูกขโมยถูกนำไปขายในฟอรัมของผู้ไม่ประสงค์ดี

    Cisco ยืนยันกับ BleepingComputer ว่ากำลังตรวจสอบข้อกล่าวหาล่าสุดที่บริษัทถูกละเมิดความปลอดภัย หลังจากที่มีผู้ไม่หวังดีเริ่มขายข้อมูลที่อ้างว่าถูกขโมยในฟอรัมแฮกเกอร์

    “Cisco ทราบถึงรายงานที่มีบุคคลอ้างว่าได้เข้าถึงไฟล์บางอย่างที่เกี่ยวข้องกับ Cisco” โฆษกของ Cisco กล่าวกับ BleepingComputer

    “เราได้เริ่มต้นการสอบสวนเพื่อตรวจสอบข้อกล่าวหานี้ และการสอบสวนยังคงดำเนินอยู่”

    คำแถลงนี้เกิดขึ้นหลังจากที่แฮกเกอร์ที่มีชื่อเสียงในวงการใช้ชื่อว่า “IntelBroker” กล่าวว่าตนและผู้ร่วมอีกสองคนที่เรียกว่า “EnergyWeaponUser” และ “zjj” ได้เจาะระบบของ Cisco เมื่อวันที่ 10 มิถุนายน 2024 และขโมยข้อมูลนักพัฒนาจำนวนมากจากบริษัท

    “ข้อมูลที่ถูกละเมิด: โปรเจ็กต์บน Github, โปรเจ็กต์บน Gitlab, โปรเจ็กต์ SonarQube, ซอร์สโค้ด, ข้อมูลรับรองที่ถูกเขียนฝังไว้, ใบรับรอง, เอกสาร SRC ของลูกค้า, เอกสารลับของ Cisco, ตั๋ว Jira, โทเค็น API, ถัง AWS Private, SRC ของเทคโนโลยี Cisco, การสร้าง Docker, ถังเก็บข้อมูล Azure, กุญแจส่วนตัวและสาธารณะ, ใบรับรอง SSL, ผลิตภัณฑ์พรีเมียมของ Cisco และอื่นๆ อีกมากมาย!” ข้อความในฟอรัมแฮกเกอร์ระบุ

    IntelBroker ยังได้แชร์ตัวอย่างข้อมูลที่ถูกขโมย ซึ่งรวมถึงฐานข้อมูล ข้อมูลลูกค้า เอกสารลูกค้าต่าง ๆ และภาพหน้าจอของพอร์ทัลการจัดการลูกค้า

    อย่างไรก็ตาม ผู้ไม่หวังดีรายนี้ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับวิธีการที่ใช้ในการได้มาซึ่งข้อมูลเหล่านี้ ในเดือนมิถุนายน IntelBroker เริ่มขายหรือเผยแพร่ข้อมูลจากหลายบริษัท รวมถึง T-Mobile, AMD และ Apple แหล่งข่าวที่คุ้นเคยกับการโจมตีบอกกับ BleepingComputer ว่าข้อมูลเหล่านั้นถูกขโมยจากผู้ให้บริการจัดการภายนอกที่เกี่ยวข้องกับ DevOps และการพัฒนาซอฟต์แวร์

    ยังไม่ทราบแน่ชัดว่าการละเมิดความปลอดภัยของ Cisco เกี่ยวข้องกับการละเมิดที่เกิดขึ้นในเดือนมิถุนายนก่อนหน้านี้หรือไม่

    BleepingComputer ได้ติดต่อผู้ให้บริการภายนอกดังกล่าวอีกครั้งเพื่อยืนยันว่าพวกเขาถูกโจมตีทางไซเบอร์หรือไม่ แต่ยังไม่ได้รับคำตอบ

Ref : bleepingcomputer

Cisco แก้ไขช่องโหว่การยกระดับสิทธิ์ Root ที่ถูกโจมตีด้วย Public Exploit Code

Cisco ได้แก้ไขช่องโหว่ command injection ด้วย public exploit code ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้

CVE-2024-20469 (คะแนน CVSS 6.0/10.0 ความรุนแรงระดับ Medium) เป็นช่องโหว่ OS command injection ที่เกิดจากการตรวจสอบ input validation ของ user-supplied ที่ไม่เพียงพอใน Cisco ISE เมื่อผู้ไม่ประสงค์ดีสามารถโจมตีช่องโหว่ได้ด้วยการส่งคำสั่ง CLI ที่เป็นอันตรายในการโจมตี และมีความซับซ้อนต่ำ จึงทำให้ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน

ทั้งนี้ผู้ไม่ประสงค์ดีจะสามารถใช้ช่องโหว่ในการโจมตีได้สำเร็จ เฉพาะในกรณีที่มีสิทธิ์ของผู้ดูแลระบบ บนระบบที่มีช่องโหว่เท่านั้น

Cisco Identity Services Engine (ISE) ของ Cisco เป็นซอฟต์แวร์ควบคุมการเข้าถึงเครือข่ายตามข้อมูล identity-based และ policy enforcement ที่ช่วยให้สามารถจัดการอุปกรณ์เครือข่าย และควบคุมการเข้าถึงระบบขององค์กร

เวอร์ชันที่ได้รับผลกระทบของ Cisco ISE

Cisco ISE เวอร์ชัน 3.1 และก่อนหน้า ไม่ได้รับผลกระทบ

Cisco ISE เวอร์ชัน 3.2 ได้รับการแก้ไขใน เวอร์ชัน 3.2P7 (Sep 2024)

Cisco ISE เวอร์ชัน 3.3 ได้รับการแก้ไขใน เวอร์ชัน 3.3P4 (Oct 2024)

Cisco ISE เวอร์ชัน 3.4 ไม่ได้รับผลกระทบ

ปัจจุบัน Cisco ยังไม่พบหลักฐานของผู้ไม่ประสงค์ดีที่กำลังใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึง Cisco ได้แจ้งเตือนลูกค้าว่าได้ลบ backdoor account ลับ ๆ ออกจากซอฟต์แวร์ Smart Licensing Utility Windows แล้ว ซึ่งผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้าสู่ระบบที่มีช่องโหว่โดยใช้สิทธิ์ของผู้ดูแลระบบ

ในเดือนเมษายน 2024 บริษัทได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Integrated Management Controller (IMC) (CVE-2024-20295) ซึ่งทำให้ผู้ไม่ประสงค์ดีที่เข้าถึงระบบได้ สามารถยกระดับสิทธิ์ให้เป็นระดับ root ได้อีกด้วย

รวมถึงช่องโหว่ CVE-2024-20401 ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเพิ่มผู้ใช้ root และทำให้เครื่องมือ Security Email Gateway (SEG) ไม่สามารถตรวจสอบอีเมลที่เป็นอันตราย ซึ่งได้รับการแก้ไขช่องโหว่ไปแล้วเช่นเดียวกันเมื่อเดือนที่ผ่านมา

อีกทั้งมีการแจ้งเตือนเกี่ยวกับ CVE-2024-20419 ช่องโหว่ระดับ Critical ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านผู้ใช้บนเซิร์ฟเวอร์ Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) ที่มีช่องโหว่ รวมถึงสิทธ์ของผู้ดูแลระบบด้วย

Ref: bleepingcomputer

Cisco เตือนเกี่ยวกับบัญชีผู้ดูแลระบบ (admin) ที่เป็นช่องโหว่ใน Smart Licensing Utility

    Cisco ได้ลบบัญชีลับออกจาก Cisco Smart Licensing Utility (CSLU) ซึ่งสามารถใช้ล็อกอินเข้าสู่ระบบที่ยังไม่ได้แพตช์ด้วยสิทธิ์ผู้ดูแลระบบ

    CSLU เป็นแอปพลิเคชันบน Windows ที่ช่วยจัดการใบอนุญาตและผลิตภัณฑ์ที่ใช้งานภายในองค์กรโดยไม่ต้องเชื่อมต่อกับโซลูชัน Smart Software Manager ของ Cisco

    บริษัทกล่าวว่าช่องโหว่สำคัญนี้ (CVE-2024-20439) อนุญาตให้ผู้ไม่ประสงค์ดีที่ไม่ได้ตรวจสอบตัวตนล็อกอินเข้าสู่ระบบที่ยังไม่ได้ทำการอับเดตแพตช์จากระยะไกลโดยใช้ "ข้อมูลรับรองผู้ใช้แบบสถิตที่ไม่ใช้เอกสารสำหรับบัญชีผู้ดูแลระบบ"

    “การใช้ประโยชน์จากช่องโหว่นี้อย่างสำเร็จอาจทำให้ผู้ไม่ประสงค์ดีสามารถล็อกอินเข้าสู่ระบบที่ได้รับผลกระทบด้วยสิทธิ์ผู้ดูแลระบบผ่าน API ของแอปพลิเคชัน Cisco Smart Licensing Utility” Cisco ได้อธิบายเพิ่มเติม

    Cisco ยังได้ออกอัปเดตความปลอดภัยสำหรับช่องโหว่ในการเปิดเผยข้อมูลใน CLSU ที่สำคัญ (CVE-2024-20440) ซึ่งผู้ไม่ประสงค์ดีที่ไม่ต้องการการตรวจสอบตัวตนสามารถใช้เพื่อเข้าถึงไฟล์ล็อกที่มีข้อมูลที่ละเอียดอ่อน (รวมถึงข้อมูลรับรอง API) โดยการส่งคำขอ HTTP ที่ปรับแต่งไปยังอุปกรณ์ที่ได้รับผลกระทบ

ช่องโหว่ด้านความปลอดภัยทั้งสองนี้ส่งผลกระทบเฉพาะต่อระบบที่ใช้งาน Cisco Smart Licensing Utility รุ่นที่มีช่องโหว่ ไม่ว่าจะเป็นการกำหนดค่าซอฟต์แวร์แบบใดก็ตาม ช่องโหว่เหล่านี้สามารถถูกใช้ประโยชน์ได้เฉพาะเมื่อผู้ใช้เริ่มต้น Cisco Smart Licensing Utility ซึ่งไม่ได้ออกแบบให้ทำงานในพื้นหลัง

Cisco Smart License Utility Release	First Fixed Release
2.0.0	Migrate to a fixed release.
2.1.0	Migrate to a fixed release.
2.2.0	Migrate to a fixed release.
2.3.0	Not vulnerable.

    ทีมความปลอดภัยด้านสารสนเทศของ Cisco  (PSIRT) กล่าวว่า ยังไม่พบการใช้ช่องโหว่ดังกล่าวในเหตุการณ์โจมตีสาธารณะหรือหลักฐานที่แสดงถึงการใช้ช่องโหว่ในทางที่เป็นภัย

    นี่ไม่ใช่ครั้งแรกที่ Cisco ได้ลบบัญชีลับจากผลิตภัณฑ์ของตนในช่วงไม่กี่ปีที่ผ่านมา ข้อมูลรับรองที่ไม่ได้รับเอกสารก่อนหน้านี้ถูกค้นพบใน Digital Network Architecture (DNA) Center, IOS XE, Wide Area Application Services (WAAS), และ Emergency Responder software ของบริษัท

    เมื่อเดือนที่แล้ว  Cisco ได้แพตช์ช่องโหว่ที่มีความรุนแรงสูงสุด (CVE-2024-20419) ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านของผู้ใช้ใดก็ได้บนเซิร์ฟเวอร์ใบอนุญาต Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) ที่ยังไม่ได้แพตช์ สามสัปดาห์ต่อมา บริษัทกล่าวว่าโค้ดการใช้ประโยชน์ได้ถูกเผยแพร่ทางออนไลน์และเตือนผู้ดูแลระบบให้ทำการแพตช์เซิร์ฟเวอร์ SSM On-Prem ของตนเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น

    ในเดือนกรกฎาคม  Cisco ได้แก้ไขช่องโหว่ NX-OS zero-day (CVE-2024-20399) ที่ถูกใช้ตั้งแต่เดือนเมษายนเพื่อติดตั้ง Malware ที่ไม่เคยรู้จักมาก่อนเป็น root บนสวิตช์ MDS และ Nexus ที่มีช่องโหว่

 Cisco ยังได้เตือนในเดือนเมษายนว่าแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐ (ที่ติดตามในชื่อ UAT4356 และ STORM-1849) ได้ใช้ช่องโหว่ zero-day อีกสองรายการ (CVE-2024-20353 และ CVE-2024-20359) เพื่อแทรกซึมเครือข่ายของรัฐบาลทั่วโลก

Ref: bleepingcomputer

ผู้ไม่ระสงค์ดีทำการ โจมตีไปยัง Cisco Store เพื่อขอโมยข้อมูลบัตรเครดิตและ Credentials

    ไซต์ของ Cisco ที่ใช้ขายสินค้าธีมบริษัทกำลังอยู่ในสถานะออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกผู้ไม่ประสงค์ดีเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลลูกค้าสำคัญที่กรอกในขั้นตอนการชำระเงิน

    เว็บไซต์ของ Cisco สำหรับการขายสินค้าธีมบริษัทกำลังออฟไลน์และอยู่ระหว่างการบำรุงรักษา เนื่องจากถูกเจาะระบบด้วยโค้ด JavaScript ที่ขโมยข้อมูลสำคัญในขั้นตอนการชำระเงิน

    ยังไม่ชัดเจนว่าโค้ด JavaScript ที่เป็นอันตรายนี้เข้ามาในร้านค้าของ Cisco ได้อย่างไร แต่ BleepingComputer ได้รับการบอกเล่าจากผู้เชี่ยวชาญด้านความปลอดภัยที่ไม่ประสงค์จะออกนามว่าดูเหมือนว่าจะเป็นการโจมตีแบบ CosmicSting (CVE-2024-34102)

    Cisco Merchandise Store เป็นร้านขายของที่ระลึกที่มีสินค้าประดับแบรนด์ Cisco เช่น เสื้อผ้าและเครื่องประดับ (แก้วน้ำ ขวดน้ำ หมวก พาวเวอร์แบงค์ กระเป๋า สติ๊กเกอร์ ของเล่น) ณ ขณะนี้ ร้านค้า Cisco ในสหรัฐอเมริกา ยุโรป และภูมิภาคเอเชียแปซิฟิก ญี่ปุ่น และจีน (APJC) ไม่สามารถเข้าถึงได้ ขโมยบัตรเครดิตและข้อมูลการเข้าสู่ระบบ โค้ด JavaScript นี้มีการเข้ารหัสซับซ้อนและถูกส่งมาจากโดเมน rextension.[net] ที่ลงทะเบียนเมื่อวันที่ 30 สิงหาคม สองวันก่อนที่ BleepingComputer จะทราบถึงการโจมตี ซึ่งแสดงให้เห็นว่าการเจาะระบบเกิดขึ้นในช่วงสุดสัปดาห์

    สคริปต์ที่เป็นอันตรายนี้มีการเข้ารหัสซับซ้อนสูงและมีวัตถุประสงค์เพื่อรวบรวมข้อมูลที่กรอกในขั้นตอนการชำระเงิน เช่น รายละเอียดบัตรเครดิตทั้งหมดที่จำเป็นสำหรับการชำระเงินออนไลน์

    BleepingComputer สามารถถอดรหัสส่วนหนึ่งของสคริปต์และพบว่ามันสามารถขโมยข้อมูลเพิ่มเติมอื่น ๆ ได้ด้วย รวมถึงที่อยู่ไปรษณีย์ หมายเลขโทรศัพท์ ที่อยู่อีเมล และข้อมูลรับรองการเข้าสู่ระบบของผู้ใช้

    ตามที่นักวิจัยที่ค้นพบการโจมตีนี้ ระบุว่าผู้โจมตีมีแนวโน้มใช้ช่องโหว่ CosmicSting ในการฝังโค้ด JavaScript ที่เป็นอันตรายลงในร้านค้าของ Cisco

    CosmicSting เป็นปัญหาด้านความปลอดภัยที่มีความรุนแรงระดับวิกฤติ ซึ่งส่งผลกระทบต่อแพลตฟอร์มการช้อปปิ้ง Adobe Commerce (Magento) มันเป็นการโจมตีแบบ XML External Entity Injection (XXE) ที่ช่วยให้ผู้โจมตีสามารถอ่านข้อมูลส่วนตัวได้

    ในการโจมตีแบบ CosmicSting ผู้โจมตีมีเป้าหมายที่จะฝังโค้ด HTML หรือ JavaScript ในบล็อก CMS ที่แสดงผลในขั้นตอนการชำระเงิน Willem de Groot ผู้ก่อตั้งและสถาปนิกที่ Sansec อธิบายกับ BleepingComputer

    แม้ว่าเว็บไซต์ของ Cisco จะถูกใช้โดยพนักงานส่วนใหญ่ในการซื้อสินค้าสำหรับตัวเองหรือเป็นของขวัญ สคริปต์ที่เป็นอันตรายอาจทำให้ผู้โจมตีสามารถเก็บข้อมูลรับรองการเข้าสู่ระบบของพนักงาน Cisco ได้

BleepingComputer ได้ติดต่อ Cisco เพื่อขอความคิดเห็นเกี่ยวกับการโจมตีนี้ แต่ยังไม่ได้รับการตอบกลับในเวลาที่ตีพิมพ์ข่าวนี้

Ref : bleepingcomputer

ผู้ไม่ประสงค์ดีชาวจีนใช้ช่องโหว่ Zero-Day ใน Cisco Switch เพื่อเข้าควบคุมระบบของเป้าหมาย

    มีการเปิดเผยรายละเอียดเกี่ยวกับกลุ่มผู้ไม่ประสงค์ดีชาวจีน ที่ได้โจมตีช่องโหว่ด้านความปลอดภัยที่เพิ่งถูกเปิดเผย และได้รับการแก้ไขไปแล้วในสวิตช์ของ Cisco โดยการใช้ช่องโหว่ zero-day เพื่อเข้าควบคุมอุปกรณ์ และหลบเลี่ยงการตรวจจับระบบความปลอดภัย

    การกระทำดังกล่าวถูกระบุว่าเป็นฝีมือของกลุ่ม Velvet Ant โดยถูกพบเมื่อต้นปีที่ผ่านมา และเกี่ยวข้องกับการโจมตีจากช่องโหว่ CVE-2024-20399 (คะแนน CVSS: 6.0) ในการติดตั้ง Malware ที่ออกแบบมาโดยเฉพาะ และยังสามารถเข้าควบคุมระบบที่ถูกโจมตีได้ ทำให้ผู้โจมตีสามารถขโมยข้อมูล และเข้าถึงระบบได้อย่างต่อเนื่อง

    Sygnia ระบุในรายงานว่า "ช่องโหว่จาก zero-day นี้ทำให้ผู้โจมตีมีสิทธิ์เป็นผู้ดูแลระบบของ Switch management console ทำให้สามารถ escape ออกจาก NX-OS Command Line Interface (CLI) และเรียกใช้คำสั่งใด ๆ ก็ตามบนระบบปฏิบัติการ Linux ที่อยู่เบื้องหลังได้"

    Velvet Ant ได้รับความสนใจจากนักวิจัยของบริษัท Israeli cybersecurity จากการเชื่อมโยงกับการโจมตีที่ได้ดำเนินมาอย่างยาวนานหลายปี โดยมีเป้าหมายเป็นองค์กรที่ไม่เปิดเผยชื่อในเอเชียตะวันออก และใช้การโจมตีจากอุปกรณ์ F5 BIG-IP รุ่นเก่าเป็นจุดเริ่มต้น เพื่อสร้างการเข้าถึงอย่างต่อเนื่องในระบบที่ถูกโจมตีได้แล้ว

การโจมตีจากช่องโหว่ CVE-2024-20399 อย่างแนบเนียนของกลุ่มผู้ไม่ประสงค์ดีนี้ ได้ถูกเปิดเผยเมื่อช่วงต้นเดือนที่ผ่านมา ส่งผลให้ Cisco ต้องออกการอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ดังกล่าว

    สิ่งที่น่าสังเกตของเทคนิคการโจมตีนี้ คือระดับความซับซ้อน และกลยุทธ์ในการปรับเปลี่ยนรูปแบบที่กลุ่มผู้ไม่ประสงค์ดีนี้นำมาใช้ โดยเริ่มต้นจากการแทรกซึมเข้าสู่ระบบ Windows รุ่นใหม่ จากนั้นจะโจมตีต่อไปยังเซิร์ฟเวอร์ Windows รุ่นเก่า และอุปกรณ์เครือข่าย เพื่อพยายามที่จะหลบเลี่ยงการตรวจจับ

Sygnia ระบุว่า "การเปลี่ยนไปดำเนินการจากอุปกรณ์เครือข่ายภายในถือเป็นการยกระดับเทคนิคการหลบเลี่ยงอีกครั้ง เพื่อให้แน่ใจว่าการโจมตีดังกล่าวจะดำเนินต่อไปได้"

    การโจมตีครั้งล่าสุดเกี่ยวข้องกับการเจาะระบบบนอุปกรณ์ Cisco Switch โดยใช้ช่องโหว่ CVE-2024-20399 เพื่อดำเนินการสอดแนม จากนั้นจึงเปลี่ยนการโจมตีไปยังอุปกรณ์เครือข่ายอื่น ๆ และในที่สุดก็จะทำการเรียกใช้ไบนารี backdoor ผ่านสคริปต์ที่เป็นอันตราย

    Payload ที่เรียกว่า VELVETSHELL นั้นเป็นการผสมผสานระหว่างเครื่องมือโอเพนซอร์สสองตัว ได้แก่ backdoor บน Unix ที่ชื่อว่า Tiny SHell และโปรแกรมยูทิลิตี้พร็อกซี่ที่เรียกว่า 3proxy นอกจากนี้ยังรองรับความสามารถในการเรียกใช้คำสั่งตามที่ต้องการ เช่น การดาวน์โหลด/อัปโหลดไฟล์ และสร้างช่องทางสำหรับการทำ proxying network traffic

    วิธีการดำเนินงานของ 'Velvet Ant' แสดงให้เห็นถึงความเสี่ยงเกี่ยวกับอุปกรณ์ และแอปพลิเคชันของ third-party ที่องค์กรนำมาใช้ และเนื่องจากอุปกรณ์จำนวนมากมีลักษณะเหมือน black box ทำให้อุปกรณ์ฮาร์ดแวร์ หรือซอฟต์แวร์แต่ละชิ้นมีโอกาสกลายเป็นพื้นที่สำหรับการโจมตีที่ผู้โจมตีสามารถใช้จากช่องโหว่ดังกล่าวได้"

Ref: thehackernews

ช่องโหว่ใน Cisco SSM On-Prem ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านของผู้ใช้ได้

    Cisco ออกแพตซ์แก้ไขช่องโหว่ระดับ Critical ซึ่งทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านของผู้ใช้บน Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) license servers ที่มีช่องโหว่ รวมถึงรหัสผ่านของผู้ดูแลระบบ

    CVE-2024-20419 (คะแนน CVSS 10/10 ความรุนแรงระดับ Critical) โดยเกิดจากช่องโหว่ในการเปลี่ยนรหัสผ่านที่ไม่ได้รับการยืนยันในระบบการตรวจสอบสิทธิ์ของ SSM On-Prem ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านได้จากภายนอกโดยไม่จำเป็นต้องมีรหัสเดิม โดยการส่ง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษ โดยหากโจมตีได้สำเร็จอาจทำให้สามารถเข้าถึง UI หรือ API บนเว็บโดยได้รับสิทธิ์ของผู้ใช้ที่ถูกโจมตี

    ช่องโหว่ดังกล่าวส่งผลกระทบต่อ SSM On-Prem รุ่นก่อน 7.0 ซึ่งเรียกว่า Cisco Smart Software Manager Satellite (SSM Satellite) ที่เป็นส่วนประกอบของ Cisco Smart Licensing SSM On-Prem

Cisco SSM On-Prem เวอร์ชันที่ได้รับผลกระทบ และแพตซ์แก้ไข

• Version 8-202206 และก่อนหน้านั้น >> อัปเดตเป็นเวอร์ชัน 8-202212
• Version 9 >> ไม่ได้รับผลกระทบ

    Cisco แจ้งว่าปัจจุบันยังไม่มีวิธีในการลดผลกระทบ นอกจากการอัปเดตเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

    ทีม Incidesnt Respond เหตุการณ์ด้านความปลอดภัยผลิตภัณฑ์ (PSIRT) ของ Cisco ระบุว่า จากการค้นหาสัญญาณของการโจมตีช่องโหว่ ยังไม่พบการโจมตีโดยใช้ช่องโหว่ดังกล่าว โดยก่อนหน้านี้ Cisco ได้แก้ไขช่องโหว่ NX-OS zero-day (CVE-2024-20399) ที่ถูกใช้ในการติดตั้ง Malware ที่ไม่รู้จักมาก่อนด้วยสิทธิ์ Root บน MDS และ Nexus switches ที่มีช่องโหว่ ตั้งแต่เดือนเมษายน 2024

    Cisco ยังได้แจ้งเตือนว่ากลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล (ในชื่อ UAT4356 และ STORM-1849) ได้ใช้ช่องโหว่ zero-day อีก 2 รายการ (CVE-2024-20353 และ CVE-2024-20359) ในการโจมตี Adaptive Security Appliance (ASA) firewall และ Firepower Threat Defense (FTD) firewall ในแคมเปญที่มีชื่อว่า ArcaneDoor ตั้งแต่เดือนพฤศจิกายน 2023 โดยกำหนดเป้าหมายไปที่เครือข่ายของรัฐบาลทั่วโลก

Ref: bleepingcomputer

กลุ่มผู้ไม่ประสงค์ดี ArcaneDoor ใช้ช่องโหว่ของ Cisco โจมตีเครือข่ายภาครัฐ

กลุ่มผู้ไม่ประสงค์ดี

ArcaneDoor  เป็นกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาล  ซึ่งเชื่อกันว่ามีฐานปฏิบัติการในเกาหลีเหนือ

กลุ่มนี้มีความเชี่ยวชาญ ในการโจมตีทางไซเบอร์ต่อเป้าหมาย  เช่น รัฐบาล องค์กร และบริษัทขนาดใหญ่

ArcaneDoor เคยใช้มัลแวร์และเทคนิคการโจมตีที่หลากหลาย รวมถึงการโจมตีแบบ phishing การโจมตีแบบ spear-phishing และการโจมตีแบบ zero-day

ช่องโหว่ที่ถูกใช้โจมตี

ช่องโหว่ CVE-2024-20353 ส่งผลกระทบต่อ Cisco ASA และ FTD firewalls และอนุญาตให้ผู้โจมตีรีสตาร์ทอุปกรณ์จากระยะไกล ซึ่งอาจนำไปสู่การโจมตีแบบปฏิเสธบริการ (DoS)

ช่องโหว่ CVE-2024-20359 ส่งผลกระทบต่อ Cisco ASA และ FTD firewalls และอนุญาตให้ผู้โจมตีรันโค้ดโดยพลการบนอุปกรณ์ ซึ่งอาจนำไปสู่การควบคุมอุปกรณ์โดยสมบูรณ์

เหยื่อ

เหยื่อของการโจมตีเหล่านี้เป็นเครือข่ายภาครัฐทั่วโลก

ยังไม่มีข้อมูลเกี่ยวกับจำนวนเหยื่อที่แน่นอน

เชื่อกันว่ากลุ่มแฮ็กเกอร์ได้โจมตีเครือข่ายภาครัฐหลายสิบแห่ง

แรงจูงใจในการโจมตี

แรงจูงใจของกลุ่มแฮ็กเกอร์ยังไม่เป็นที่ทราบแน่ชัด

เป็นไปได้ว่ากลุ่มแฮ็กเกอร์กำลังขโมยข้อมูลลับ เช่น ข้อมูลส่วนบุคคล ข้อมูลทางการเงิน หรือความลับทางการค้า

เป็นไปได้ว่ากลุ่มแฮ็กเกอร์กำลังก่อวินาศกรรมหรือขัดขวางการดำเนินงานของรัฐบาล

ผลกระทบ

            ผลกระทบของการโจมตีเหล่านี้ยังไม่เป็นที่ทราบแน่ชัด

            เป็นไปได้ว่ารัฐบาลที่ถูกโจมตีสูญเสียข้อมูลลับ หรือถูกก่อวินาศกรรมหรือขัดขวางการดำเนินงาน

            ยังไม่มีข้อมูลเกี่ยวกับความเสียหายทางการเงินที่เกิดขึ้น

การตอบสนอง

            Cisco  ได้ออกการแก้ไขสำหรับช่องโหว่  CVE-2024-20353  ในเดือนมีนาคม  2567  และสำหรับช่องโหว่  CVE-2024-20359  ในเดือนเมษายน 2567

            ผู้ดูแลระบบควรติดตั้งการแก้ไขโดยเร็วที่สุดเพื่อป้องกันเครือข่ายจากการโจมตี

            รัฐบาลที่ถูกโจมตีได้ขอความช่วยเหลือจากหน่วยงานด้านความปลอดภัยไซเบอร์

 

 

Ref : BleepingComputer

Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีด้วย Ransomware

    Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย

    CVE-2023-20269 (คะแนน CVSS 5/10 ความรุนแรงระดับกลาง) เป็นช่องโหว่ที่ส่งผลกระทบต่อฟีเจอร์ VPN ของ Cisco ASA และ Cisco FTD ทำให้ ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Brute Force ด้วย Remote กับบัญชีที่มีอยู่ได้ ซึ่งหากโจมตีได้สำเร็จก็สามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กรที่เป็นเป้าหมาย ซึ่งเป็นขั้นตอนแรกในการเข้าถึงเครือข่าย ซึ่งอาจมีผลกระทบที่แตกต่างกันไป ขึ้นอยู่กับการตั้งค่าบนเครือข่าย

    โดยในเดือนสิงหาคม 2023 BleepingComputer รายงานว่ากลุ่ม Akira ransomware ได้ทำการโจมตีเครือข่ายองค์กรผ่านอุปกรณ์ VPN ของ Cisco โดย SentinelOne คาดการณ์ว่าอาจมาจากช่องโหว่ Zero-day ที่ยังไม่เป็นที่รู้จัก ต่อมา Rapid7 ได้รายงานว่าพบการโจมตีของกลุ่ม Lockbit ransomware ได้ทำการโจมตีเป้าหมายผ่านช่องโหว่ Zero-day ของ Cisco VPN เช่นเดียวกัน ซึ่งทาง Cisco ได้ออกคำเตือนว่าการโจมตีกล่าวเกิดขึ้นจากการโจมตีด้วยการ brute forcing credentials บนอุปกรณ์ที่ไม่ได้กำหนดค่า MFA

ซึ่งปัจจุบันทาง Cisco ได้ยืนยันการมีอยู่ของช่องโหว่แบบ Zero-day ที่กลุ่ม ransomware ใช้ในการโจมตี และได้ระบุวิธีการแก้ไขชั่วคราว แต่ยังไม่มีแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่

    ช่องโหว่ CVE-2023-20269 อยู่ภายใน web services interface ของอุปกรณ์ Cisco ASA และ Cisco FTD โดยเฉพาะฟังก์ชันที่เกี่ยวข้องกับฟังก์ชัน authentication, authorization และ accounting (AAA)

    ช่องโหว่ดังกล่าวเกิดจากการแยกฟังก์ชัน AAA และคุณลักษณะซอฟต์แวร์อื่น ๆ ไม่ถูกต้อง ทำให้ ผู้ไม่ประสงค์ดี สามารถส่งคำขอการ authentication ไปยัง web services interface ในการโจมตีดเพื่อให้ได้ authorization

    เนื่องจาก request เหล่านี้ไม่มีการจำกัดจำนวนครั้ง ผู้ไม่ประสงค์ดี จึงสามารถโจมตีแบบ brute force credentials โดยใช้ชื่อผู้ใช้ และรหัสผ่านจำนวนนับไม่ถ้วน โดยไม่ถูกจำกัด หรือถูกบล็อก โดยเพื่อให้สามารถโจมตีแบบ brute force credentials ได้ อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขต่อไปนี้:

• ผู้ใช้อย่างน้อยหนึ่งรายได้รับการกำหนดค่าด้วยรหัสผ่านใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
• เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ หรือเปิดใช้งาน IKEv2 VPN บน interface อย่างน้อยหนึ่งรายการ
• หากอุปกรณ์ที่ถูกโจมตีใช้งาน Cisco ASA Software เวอร์ชัน 9.16 หรือเก่ากว่า ผู้ไม่ประสงค์ดี จะสามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กร โดยไม่ต้องให้สิทธิ์อนุญาตเพิ่มเติมเมื่อ authentication ได้สำเร็จ

หากต้องการสร้างเซสชัน SSL VPN แบบ clientless อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขเหล่านี้:

• ผู้ไม่ประสงค์ดี มีข้อมูล credential ที่ถูกต้องสำหรับผู้ใช้งานที่อยู่ใใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
• อุปกรณ์กำลังใช้งาน Cisco ASA Software เวอร์ชัน 16 หรือเก่ากว่า
• เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ
• อนุญาตให้ใช้โปรโตคอล SSL VPN แบบ clientless ใน DfltGrpPolicy

แนวทางการแก้ไข

    Cisco มีแผนที่จะออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2023-20269 แต่จนกว่าจะมีการแก้ไข ทาง Cisco ได้แนะนำให้ผู้ดูแลระบบดำเนินการต่อไปนี้:

• ใช้ DAP (Dynamic Access Policies) เพื่อหยุดการทำงานของ VPN tunnels ด้วย DefaultADMINGroup หรือ DefaultL2LGroup
• ปฏิเสธการเข้าถึงด้วย Default Group Policy โดยการปรับ vpn-simultaneous-logins สำหรับ DfltGrpPolicy ให้เป็นศูนย์ และตรวจสอบให้แน่ใจว่า VPN session profiles ทั้งหมดชี้ไปที่ custom policy
• ใช้ข้อจำกัด LOCAL user database restrictions โดยการล็อคผู้ใช้งานบางรายให้อยู่ในโปรไฟล์เดียวด้วยตัวเลือก 'group-lock' และป้องกันการตั้งค่า VPN โดยการตั้งค่า 'vpn-simultaneous-logins' ให้เป็นศูนย์

    Cisco ยังแนะนำให้ใช้ Default Remote Access VPN profiles โดยชี้โปรไฟล์ที่ไม่ใช่ Default ทั้งหมดไปยัง sinkhole AAA server (dummy LDAP server) และเปิดใช้งานการ logging เพื่อตรวจจับเหตุการณ์การโจมตีที่อาจเกิดขึ้น รวมถึงการเปิด multi-factor authentication (MFA) ช่วยลดความเสี่ยงในการโจมตีได้ เนื่องจากการโจมตีแบบ brute force credentials จะทำให้ไม่สามารถเข้าถึงบัญชีที่มีการเปิดใช้งาน MFA ได้

Ref : bleepingcomputer

Cisco และ VMware ออกมาเตือนถึง 3 ช่องโหว่ที่มีความรุนแรง

    VMware ได้ออกการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่สามประการใน Aria Operations สำหรับเครือข่าย ซึ่งอาจส่งผลให้มีการเปิดเผยข้อมูลและการเรียกใช้ Remote Code Execution

    ช่องโหว่ที่สำคัญที่สุดจากทั้งสามนี้คือช่องโหว่ Command Inject คือ CVE-2023-20887 มีคะแนน CVSS อยู่ที่ 9.8 ซึ่งอาจทำให้ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายด้วยการเรียกใช้ Remote Code Execution ได้ 

    ช่องโหว่ที่สอง คือ CVE-2023-20888 ที่มีคะแนน CVSS อยู่ที่ 9.1 จากคะแนนสูงสุด 10 คะแนนจากระบบการให้คะแนน CVSS VMware เผยว่า ผู้ไม่ประสงค์ดีที่สามารถเข้าถึงเครือข่ายไปยัง VMware Aria Operations for Networks และบทบาท ‘Member’ ที่ถูกต้องอาจสามารถดำเนินการโจมตีแบบ deserialization attack ที่ส่งผลให้มีการเรียกใช้ Remote Code Execution

 ช่องโหว่ด้านความปลอดภัยที่สามคือข้อผิดพลาดในการเปิดเผยข้อมูลที่มีความรุนแรงสูง (CVE-2023-20889, คะแนน CVSS: 8.8) ที่อนุญาตให้ผู้ไม่ประสงค์ดีที่มีสิทธิ์เข้าถึงเครือข่ายและสามารถดำเนินการโจมตีด้วยการแทรกคำสั่ง และเข้าถึงข้อมูลที่สำคัญได้ โดยช่องโหว่สามประการซึ่งส่งผลต่อ VMware Aria Operations Networks เวอร์ชัน 6.x ได้รับการแก้ไขในเวอร์ชันต่อไปนี้: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 และ 6.10 ไม่มีวิธีแก้ไขปัญหาชั่วคราวที่ช่วยได้

    การแจ้งเตือนเกิดขึ้นในขณะที่ Cisco ดำเนินการแก้ไขช่องโหว่ที่สำคัญในซีรีส์ Expression Series และเซิร์ฟเวอร์สื่อสารผ่านวิดีโอ TelePresence (VCS) ที่สามารถอนุญาตให้ผู้ไม่ประสงค์ดีที่ได้รับการรับรอง

ความถูกต้องด้วยข้อมูลประจำตัวระดับผู้ดูแลระบบแบบอ่านอย่างเดียวเพื่อยกระดับสิทธิ์ให้กับผู้ดูแลระบบ

ด้วยข้อมูลประจำตัวแบบ Read-Write

    ช่องโหว่ที่มีความรุนแรงสูงในผลิตภัณฑ์เดียวกัน คือ CVE-2023-20192 ที่มีคะแนน CVSS อยู่ที่ 8.4 ที่อาจอนุญาตให้ผู้ไม่ประสงค์ดีเฉพาะที่ตรวจสอบสิทธิ์ดำเนินการคำสั่งและปรับเปลี่ยนพารามิเตอร์การกำหนดค่าระบบได้

    วิธีแก้ปัญหาเบื้องต้นสำหรับ CVE-2023-20192 Cisco ขอแนะนำให้ลูกค้าปิดใช้งานการเข้าถึง CLI สำหรับผู้ใช้แบบอ่านอย่างเดียว ทั้งสองปัญหาได้รับการแก้ไขใน VCS เวอร์ชัน 14.2.1 และ 14.3.0 ตามลำดับแม้ว่าจะไม่มีหลักฐานว่าช่องโหว่ใด ๆ ที่กล่าวมาข้างต้นถูกใช้ในทางที่ผิด

    แต่ข้อแนะนำให้ทำการแก้ไขช่องโหว่โดยเร็วที่สุดเพื่อลดความเสี่ยงที่อาจเกิดขึ้น นอกจากนี้ คำแนะนำยังติดตามการค้นพบช่องโหว่ด้านความปลอดภัย 3 รายการใน RenderDocได้แก่ CVE-2023-33863, CVE-2023-33864 และ CVE-2023-33865 ซึ่งเป็นดีบักเกอร์กราฟิกแบบโอเพ่นซอร์ส อาจทำให้ได้รับสิทธิ์ขั้นสูงและ รันรหัสโดยพลการได้

Ref : thehackernews

วิธีตรวจสอบประกัน ของยี่ห้อ หรือตัวแทนจำหน่าย ต่าง ๆ (เน้น อุปกรณ์ IT สำหรับ ผู้ดูแลระบบ)

อุปกรณ์ IT ส่วนมากจะมีการรับประกันสินค้าเกือบทั้งหมด ซึ่งระยะเวลาก็แล้วแต่ประเภท แต่ละยี่ห้อก็มีรับประกันที่แตกต่างกันไป
หลาย ๆ ท่าน คงมีหลาย ๆ อุปกรณ์ที่ใช้งานอยู่ และจำนวนไม่น้อยที่ต้องดูแลบำรุงรักษาให้สามารถใช้งานได้อย่างต่อเนื่อง บางครั้งก็ต้องการทราบว่า อุปกรณ์ที่ดูแลอยู่นั้น ยังมีการรับประกันอยู่หรือไม่
จึงขอทดสอบการเข้าไปตรวจสอบการรับประกันของอุปกรณ์ IT ยี่้ห้อ และค่ายต่าง ๆ เท่าที่ผมมีและเคยค้นหา (และจะมีเพิ่มเติมเรื่อย ๆ  ครับ เพื่อน ๆ ท่านใดที่เห็นว่ามีประโยชน์ และยังไม่มีในรายการที่ผมทำไว้ สามารถติดต่อส่งมาเพื่อนำขึ้นบทความ เพื่อให้เป็นข้อมูลแก่เพื่อน ๆ ท่านอื่นได้ครับ)

การตรวจสอบการรับประกันอย่างที่ทางการหลาย ๆ ที่ อาจใช้เอกสาร ใบส่งสินค้า, ใบรับสินค้า เพื่อตรวจสอบวันที่สั่งซื้อและวันที่รับสินค้า พร้อมทั้งตรวจสอบเงื่อนไข และระยะเวลาที่รับประกัน

ACER
http://register.acer.co.th/WarrantyCheck/warr_chk.aspx

 

การ Update Firmware ของ Cisco 3905 (IPPhone)

พบปัญหาเครื่องโทรศัพท์ CISCO 3905 ไม่สามารถ Boot เข้าเครื่องได้ (บูทวน)

จึงคิดว่า น่าจะมีปัญหาด้าน Firmware เหมือนเครื่องก่อน จึงได้หาวิธีการดำเนินการ

โดยมีขั้นตอนดังนี้

1. ติดตั้ง TFTP บนเครื่องคอมพิวเตอร์
2. ตั้งค่า IPของเครื่องคอมพิวเตอร์เป็น 192.168.1.200
3. Copy ไฟล์ Firmware ไว้ใน Path ของ TFTP Server
4. เสียบสาย LAN ระหว่างเครื่องกับอุปกรณ์
5. เปิดเครื่องโทรศัพท์ รอระบบ ทำงาน

เพียงเท่านี้ก็สามารถอัพเดต เรียบร้อย