เมนู

Cisco เตือนช่องโหว่ Zero-Day โจมตี Cisco IOS XE

18 ตุลาคม 2566 | กนิษฐา พุ่มผล, ธีรสันต์ รัตนเรืองกุล และ ชยุต สุรัชตชัยพงศ์

Cisco เตือนกลุ่มผู้ดูแลระบบเกี่ยวกับช่องโหว่ Zero-Day ซึ่งข้ามผ่าน (Bypass) การยืนยันตัวตน จัดเป็นช่องโหว่ที่มีความเสี่ยงสูงสุดในซอฟต์แวร์ของ Cisco IOS XE ทำให้ผู้โจมตีได้รับสิทธิ์ระดับแอดมิน และสามารถควบคุมอุปกรณ์ Router หรือ Switch ได้จากระยะไกล ทั้งนี้ Cisco ได้อธิบายว่าช่องโหว่นี้ภายใต้หมายเลข CVE-2023-20198 ที่กำลังรอการแพทช์ มีผลกระทบกับอุปกรณ์ที่เปิดฟีเจอร์ Web User Interface (Web UI) และเปิดเซิฟเวอร์ HTTP หรือ HTTPS

Cisco ได้กล่าวว่า “พบการโจมตีช่องโหว่ที่ไม่เคยพบมาก่อนในฟีเจอร์ Web User Interface (Web UI) ของ Cisco IOS XE software ถูกเปิดเผยในอินเทอร์เน็ตหรือเครือข่ายที่ไม่น่าเชื่อถือ หากการโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสร้างบัญชีที่มีสิทธิ์ Privilege ระดับ 15 (ระดับสูงสุด) ซึ่งส่งผลให้ผู้โจมตีสามารถควบคุมเครื่องเป้าหมายได้ทั้งหมดและทำกิจกรรมที่ไม่ได้รับอนุญาตได้”

ศูนย์ช่วยเหลือทางเทคนิคของ Cisco (TAC) ค้นพบการโจมตีนี้เมื่อวันที่ 28 กันยายน 2566 โดยหลังจากที่มีรายงานเกี่ยวกับพฤติกรรมที่ผิดปกติบนอุปกรณ์ลูกค้า และได้ดำเนินการตรวจสอบการโจมตีเพิ่มเติม โดยสามารถระบุถึงพฤติกรรมที่เกี่ยวข้องกันย้อนกลับไปได้ถึงวันที่ 18 กันยายน 2566 เป็นการสร้างบัญชี Local User ด้วยชื่อ cisco_tac_admin” จากบัญชีผู้ใช้ที่ได้รับอนุญาตจาก IP ที่มีความเสี่ยง (5[.]149[.]249[.]174)

นอกจากนี้ Cisco ยังได้ค้นพบพฤติกรรมเพิ่มเติมที่เชื่อมโยงถึงช่องโหว่ CVE-2023-20198 ในวันที่ 12 ตุลาคม 2566 ว่ามีบัญชี Local ชื่อว่า cisco_support” ถูกสร้างขึ้นโดยมาจาก IP ที่มีความเสี่ยง(154[.]53[.]56[.]231) พร้อมกันนี้ ผู้โจมตียังได้ทำฝัง payload ที่มีความเสี่ยงเพื่อทำการรันคำสั่งในระดับ System หรือระดับ IOS

Cisco กล่าวว่า “การโจมตีทั้งสองเคสนี้ มีความน่าจะเป็นว่าถูกดำเนินการโดยผู้โจมตีคนเดียวกัน โดยการโจมตีในเดือนตุลาคมอาจเป็นการต่อยอดมาจากเดือนกันยายน โดยอาจพิจารณาได้ว่าการโจมตีในเดือนกันยายนเป็นความพยายามครั้งแรกและเป็นการทดสอบโค้ดหรือสคริปของผู้โจมตี ในขณะที่การโจมตีในเดือนตุลาคมจะแสดงให้เห็นว่าผู้โจมตีได้ทำการขยายกระบวนการเพื่อให้ยังคงสามารถเข้าถึงอุปกรณ์ได้โดยการฝัง Payload ลงไป”

คำแนะนำ/วิธีแก้ไข

Cisco แนะนำให้ผู้ดูแลระบบปิดการใช้งานเซิร์ฟเวอร์ HTTP บนระบบที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด ซึ่งจะสามารถลดเวกเตอร์การโจมตีและบล็อกการโจมตีที่เข้ามา โดยใช้คำสั่งดังนี้

  1. no ip http server หรือ no ip http secure-server ใน global configuration mode
  2. หลังจากการปิดเซิฟเวอร์แล้วให้ใช้คำสั่ง copy running-configuration startup-configuration เพื่อป้องกันการเปิดเซิฟเวอร์ HTTP ซ้ำหลังจากการรีโหลดระบบ ซึ่งหากมีการใช้ทั้ง HTTP และ HTTPS ก็จะต้องใช้คำสั่งทั้ง no ip http server และ no ip http secure-server ด้ว

องค์กรต่างๆ ควรทำการตรวจสอบหาบัญชีที่ถูกสร้างขึ้นเมื่อเร็วๆ นี้ เนื่องจากอาจเป็นตัวบ่งชี้ที่เกี่ยวข้องกับภัยคุกคามนี้ได้ โดยวิธีการหนึ่งที่ใช้ในการตรวจหาการฝังตัวโค้ดที่มีความเสี่ยงบนอุปกรณ์ด้วยการใช้คำสั่ง ดังนี้

curl -k -X POST “https[:]//DEVICEIP/webui/logoutconfirm.html?logon_hash=1”

โดย DEVICE IP คือ IP Address ของอุปกรณ์

ทั้งนี้ สามารถดูคำแนะนำเพิ่มเติ่มได้ที่เว็บไชต์ทางการของ Cisco Security Advisory

พร้อมกันนี้ Meredith Corley ผู้อำนวยการฝ่ายการสื่อสารด้านความความปลอดภัยของ Cisco ได้ให้ข้อมูลเพิ่มเติมกับ Bleeping Computer ผ่านทางอีเมลว่า “Cisco กำลังดำเนินการแก้ไขซอฟต์แวร์อย่างต่อเนื่อง และขอแนะนำให้ผู้ใช้บริการดำเนินการทันทีตามที่ระบุไว้ในคำแนะนำด้านความปลอดภัย และ Cisco จะแจ้งข้อมูลเพิ่มเติมเกี่ยวกับสถานะการตรวจสอบช่องโหว่ Zero-day ดังกล่าว ผ่านคำแนะนำด้านความปลอดภัยอีกครั้ง

นอกจากนี้ ในช่วงเดือนกันยายนทางผ่านมา Cisco ยังได้แจ้งเตือนผู้ใช้บริการให้ทำการแพตช์ช่องโหว่ Zero-Day (CVE-2023-20109) ในระบบ IOS และ IOS XE software อีกด้วย | Cisco Security Advisories and Bleeping Computer and HackRead