18 ตุลาคม 2566 | กนิษฐา พุ่มผล, ธีรสันต์ รัตนเรืองกุล และ ชยุต สุรัชตชัยพงศ์
Cisco เตือนกลุ่มผู้ดูแลระบบเกี่ยวกับช่องโหว่ Zero-Day ซึ่งข้ามผ่าน (Bypass) การยืนยันตัวตน จัดเป็นช่องโหว่ที่มีความเสี่ยงสูงสุดในซอฟต์แวร์ของ Cisco IOS XE ทำให้ผู้โจมตีได้รับสิทธิ์ระดับแอดมิน และสามารถควบคุมอุปกรณ์ Router หรือ Switch ได้จากระยะไกล ทั้งนี้ Cisco ได้อธิบายว่าช่องโหว่นี้ภายใต้หมายเลข CVE-2023-20198 ที่กำลังรอการแพทช์ มีผลกระทบกับอุปกรณ์ที่เปิดฟีเจอร์ Web User Interface (Web UI) และเปิดเซิฟเวอร์ HTTP หรือ HTTPS
Cisco ได้กล่าวว่า “พบการโจมตีช่องโหว่ที่ไม่เคยพบมาก่อนในฟีเจอร์ Web User Interface (Web UI) ของ Cisco IOS XE software ถูกเปิดเผยในอินเทอร์เน็ตหรือเครือข่ายที่ไม่น่าเชื่อถือ หากการโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสร้างบัญชีที่มีสิทธิ์ Privilege ระดับ 15 (ระดับสูงสุด) ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมเครื่องเป้าหมายได้ทั้งหมดและทำกิจกรรมที่ไม่ได้รับอนุญาตได้”
ศูนย์ช่วยเหลือทางเทคนิคของ Cisco (TAC) ค้นพบการโจมตีนี้เมื่อวันที่ 28 กันยายน 2566 โดยหลังจากที่มีรายงานเกี่ยวกับพฤติกรรมที่ผิดปกติบนอุปกรณ์ลูกค้า และได้ดำเนินการตรวจสอบการโจมตีเพิ่มเติม โดยสามารถระบุถึงพฤติกรรมที่เกี่ยวข้องกันย้อนกลับไปได้ถึงวันที่ 18 กันยายน 2566 เป็นการสร้างบัญชี Local User ด้วยชื่อ “cisco_tac_admin” จากบัญชีผู้ใช้ที่ได้รับอนุญาตจาก IP ที่มีความเสี่ยง (5[.]149[.]249[.]174)
นอกจากนี้ Cisco ยังได้ค้นพบพฤติกรรมเพิ่มเติมที่เชื่อมโยงถึงช่องโหว่ CVE-2023-20198 ในวันที่ 12 ตุลาคม 2566 ว่ามีบัญชี Local ชื่อว่า “cisco_support” ถูกสร้างขึ้นโดยมาจาก IP ที่มีความเสี่ยง(154[.]53[.]56[.]231) พร้อมกันนี้ ผู้โจมตียังได้ทำฝัง payload ที่มีความเสี่ยงเพื่อทำการรันคำสั่งในระดับ System หรือระดับ IOS
Cisco กล่าวว่า “การโจมตีทั้งสองเคสนี้ มีความน่าจะเป็นว่าถูกดำเนินการโดยผู้โจมตีคนเดียวกัน โดยการโจมตีในเดือนตุลาคมอาจเป็นการต่อยอดมาจากเดือนกันยายน โดยอาจพิจารณาได้ว่าการโจมตีในเดือนกันยายนเป็นความพยายามครั้งแรกและเป็นการทดสอบโค้ดหรือสคริปของผู้โจมตี ในขณะที่การโจมตีในเดือนตุลาคมจะแสดงให้เห็นว่าผู้โจมตีได้ทำการขยายกระบวนการเพื่อให้ยังคงสามารถเข้าถึงอุปกรณ์ได้โดยการฝัง Payload ลงไป”
Cisco แนะนำให้ผู้ดูแลระบบปิดการใช้งานเซิร์ฟเวอร์ HTTP บนระบบที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด ซึ่งจะสามารถลดเวกเตอร์การโจมตีและบล็อกการโจมตีที่เข้ามา โดยใช้คำสั่งดังนี้
องค์กรต่างๆ ควรทำการตรวจสอบหาบัญชีที่ถูกสร้างขึ้นเมื่อเร็วๆ นี้ เนื่องจากอาจเป็นตัวบ่งชี้ที่เกี่ยวข้องกับภัยคุกคามนี้ได้ โดยวิธีการหนึ่งที่ใช้ในการตรวจหาการฝังตัวโค้ดที่มีความเสี่ยงบนอุปกรณ์ด้วยการใช้คำสั่ง ดังนี้
curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”
โดย DEVICE IP คือ IP Address ของอุปกรณ์
ทั้งนี้ สามารถดูคำแนะนำเพิ่มเติ่มได้ที่เว็บไชต์ทางการของ Cisco Security Advisory
พร้อมกันนี้ Meredith Corley ผู้อำนวยการฝ่ายการสื่อสารด้านความความปลอดภัยของ Cisco ได้ให้ข้อมูลเพิ่มเติมกับ Bleeping Computer ผ่านทางอีเมลว่า “Cisco กำลังดำเนินการแก้ไขซอฟต์แวร์อย่างต่อเนื่อง และขอแนะนำให้ผู้ใช้บริการดำเนินการทันทีตามที่ระบุไว้ในคำแนะนำด้านความปลอดภัย และ Cisco จะแจ้งข้อมูลเพิ่มเติมเกี่ยวกับสถานะการตรวจสอบช่องโหว่ Zero-day ดังกล่าว ผ่านคำแนะนำด้านความปลอดภัยอีกครั้ง
นอกจากนี้ ในช่วงเดือนกันยายนทางผ่านมา Cisco ยังได้แจ้งเตือนผู้ใช้บริการให้ทำการแพตช์ช่องโหว่ Zero-Day (CVE-2023-20109) ในระบบ IOS และ IOS XE software อีกด้วย | Cisco Security Advisories and Bleeping Computer and HackRead
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา