เมนู

Cisco แจ้งพบช่องโหว่ร้ายแรง (Zero-Day) ใน NX-OS หลังถูก Hacker จีนโจมตี

02 กรกฏาคม 2567 | วรเมธ  บุญทศ

Cisco แจ้งพบช่องโหว่ร้ายแรง (Zero-Day) ใน NX-OS หลังถูก Hacker จีนโจมตี

Cisco ได้ออกแพทช์แก้ไขช่องโหว่ร้ายแรง (Zero-Day) ในซอฟต์แวร์ NX-OS ซึ่งถูกโจมตีโดยแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน ช่องโหว่ดังกล่าวถูกใช้ในการติดตั้งมัลแวร์ตัวใหม่ในสิทธิ์ระดับรูท (Root) บนสวิตช์
บริษัทด้านความมั่นคงปลอดภัยไซเบอร์อย่าง Sygnia ซึ่งเป็นผู้แจ้งเหตุการณ์ดังกล่าวให้กับซิสโก้ ได้เชื่อมโยงการโจมตีนี้กับกลุ่ม APT (Advanced Persistent Threat) ที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งเคลื่อนไหวในชื่อ “Velvet Ant”
Amnon Kushnir ผู้อำนวยการฝ่ายรับมือเหตุการณ์ฉุกเฉินของ Sygnia กล่าวว่า “บริษัท Sygnia ตรวจพบการโจมตีช่องโหว่ดังกล่าวระหว่างการตรวจสอบหลักฐานทางดิจิทัลที่ครอบคลุมเกี่ยวกับกลุ่ม APT ของจีนในชื่อ Velvet Ant”

ผู้ไม่หวังดีได้ทำการรวบรวมสิทธิ์การเข้าถึงระดับผู้ดูแลระบบ (Administrator) เพื่อเจาะเข้าไปยังสวิตช์ Cisco Nexus และติดตั้งมัลแวร์ตัวใหม่ที่ไม่เคยพบเห็นมาก่อน ซึ่งมัลแวร์นี้จะอนุญาตให้ผู้ไม่หวังดีสามารถเชื่อมต่อกลับไปยังอุปกรณ์ที่ถูกโจมตีได้จากคำสั่งระยะไกล อัปโหลดไฟล์เพิ่มเติม และรันโค้ดอันตราย
Cisco แจ้งว่า ช่องโหว่ดังกล่าว (CVE-2024-20399) สามารถถูกโจมตีได้โดยผู้ใช้ภายในเครื่องที่มีสิทธิ์ระดับผู้ดูแลระบบ (Administrator) เพื่อรันคำสั่งใดๆก็ได้บนระบบปฏิบัติการของอุปกรณ์ด้วยสิทธิ์ระดับรูท (Root)

“ช่องโหว่นี้เกิดขึ้นจากการตรวจสอบความถูกต้องของอาร์กิวเมนต์ที่ส่งไปยังคำสั่งกำหนผู้ดูแลระบบ (CLI) ที่กำหนดค่าบางคำสั่ง ผู้โจมตีสามารถหาประโยชน์ช่องโหว่นี้ได้โดยการใส่ข้อมูลที่สร้างขึ้นเป็นพิเศษลงในอาร์กิวเมนต์ของคำสั่งกำหนผู้ดูแลระบบ (CLI) ที่ได้รับผลกระทบ”
“หากโจมตีสำเร็จ ผู้โจมตีจะสามารถรันคำสั่งใดๆก็ได้บนระบบปฏิบัติการของอุปกรณ์ที่ด้วยสิทธิ์ระดับรูท (Root)”

รายละเอียดช่องโหว่

CVE-2024-20399 (CVSS Score: 6.0 Medium) เป็นช่องโหว่ร้ายแรงที่พบในซอฟต์แวร์ Cisco NX-OS ซึ่งเป็นระบบปฏิบัติการที่ใช้ใน Nexus-series switch ของ Cisco ซึ่งทำหน้าที่เชื่อมต่ออุปกรณ์ต่างๆ บนเครือข่าย

ประเภท: ช่องโหว่ Command Injection (CWE-78)
ผลกระทบ: ผู้โจมตีที่ได้รับสิทธิ์ (authenticated) และอยู่ในระบบ (local) สามารถใช้ช่องโหว่นี้เพื่อสั่งรันคำสั่งใดๆ ในฐานะ root (สิทธิ์สูงสุด) บนระบบปฏิบัติการของอุปกรณ์ที่ได้รับผลกระทบ
สาเหตุ: การตรวจสอบอาร์กิวเมนต์ที่ไม่เพียงพอใน CLI (Command Line Interface) ของ Cisco NX-OS
วิธีการโจมตี: ผู้โจมตีสามารถส่งคำสั่งที่สร้างขึ้นมาเป็นพิเศษผ่านทาง CLI เพื่อใช้ประโยชน์จากช่องโหว่นี้

ผลิตภัณฑ์ที่ได้รับผลกระทบ

รายการอุปกรณ์ที่ได้รับผลกระทบประกอบด้วยสวิตช์หลายตัวที่ใช้ซอฟต์แวร์ NX-OS ที่มีช่องโหว่

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches in standalone NX-OS mode

ช่องโหว่นี้ยังอนุญาตให้ผู้โจมตีสามารถรันคำสั่งได้โดยไม่ทิ้งร่องรอยไว้ในระบบบันทึก syslog ซึ่งช่วยให้ผู้โจมตีสามารถปกปิดร่องรอยการโจมตีบนอุปกรณ์ NX-OS ที่ถูกแฮ็กได้ 

คำแนะนำเพิ่มเติม

  • ตรวจสอบและเปลี่ยนรหัสผ่านของผู้ใช้ที่มีสิทธิ์ Administrator (network-admin และ vdc-admin) เป็นประจำ
  • ใช้ Cisco Software Checker เพื่อตรวจสอบว่าอุปกรณ์ในเครือข่ายของคุณมีความเสี่ยงต่อช่องโหว่นี้หรือไม่
  • ผู้ดูแลระบบสามารถใช้หน้า Cisco Software Checker ลิงค์ เพื่อตรวจสอบว่าอุปกรณ์ในเครือข่ายของตนถูกโจมตีโดยกำหนดเป้าหมายไปที่ช่องโหว่ CVE-2024-20399 หรือไม่

ข้อมูลอ้างอิง

Cisco warns of NX-OS zero-day exploited to deploy custom malware | Bleepingcomputer
Cisco NX-OS Software CLI Command Injection Vulnerability | Cisco

เกี่ยวกับไซเบอร์ตรอน

ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล

บริการของเรา

ติดต่อเรา

140/1 อาคารเคี่ยนหงวน 2 ชั้น 9 ถนนวิทยุ
แขวงลุมพินี เขตปทุมวัน กรุงเทพฯ 10330

© 2024 — Cybertron Co., Ltd. All rights reserved.