เมนู

Cisco ประกาศเตือนช่องโหว่ regreSSHion RCE อาจส่งผลกระทบต่อผลิตภัณฑ์หลายรายการ

10 กรกฏาคม 2567 | ศุภกร สืบสุข

Cisco ประกาศเตือนช่องโหว่ regreSSHion RCE อาจส่งผลกระทบต่อผลิตภัณฑ์หลายรายการ

Cisco ได้ออกประกาศเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดจากระยะไกล (RCE) ที่ชื่อว่า “regreSSHion” โดยช่องโหว่นี้มีผลกระทบต่อผลิตภัณฑ์หลายรายการ โดยช่องโหว่ดังกล่าวถูกติดตามในหมายเลข CVE-2024-6387(8.1) เป็นช่องโหว่ร้ายแรง (critical vulnerability) ใน OpenSSH server (sshd) ที่เปิดโอกาสให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบสิทธิ์ (unauthenticated remote attacker) สามารถเข้าถึงระบบที่ใช้ OpenSSH ได้โดยไม่ต้องใช้สิทธิ์การเข้าถึงในระบบ Linux ที่ใช้ glibc และมีผลกระทบที่จะทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยได้รับสิทธิในระดับ root

รายละเอียดช่องโหว่

สาเหตุ: เกิดจากเงื่อนไขการแข่งขัน (race condition) ในการจัดการสัญญาณ (signal) บางอย่างของ sshd ทำให้ sshd จัดการสัญญาณเหล่านั้นอย่างไม่ปลอดภัย
ผลกระทบ: ผู้โจมตีที่ไม่ได้รับอนุญาตและอยู่ระยะไกล สามารถเรียกใช้ช่องโหว่นี้ได้โดยการพยายามล็อกอินไม่สำเร็จภายในระยะเวลาที่กำหนด ซึ่งอาจนำไปสู่การเข้าถึงระบบจากระยะไกลโดยไม่ต้องใช้สิทธิ์การเข้าถึงที่ถูกต้อง (remote code execution) และอาจได้รับสิทธิ์สูงสุดของระบบ (root access)

สรุปการโจมตี

  • ผู้โจมตีพยายามเชื่อมต่อ SSH ไปยังเซิร์ฟเวอร์เป้าหมายที่ใช้ OpenSSH
  • ผู้โจมตีพยายามล็อกอินไม่สำเร็จซ้ำ ๆ ภายในระยะเวลาที่กำหนด
  • เงื่อนไขการแข่งขัน เกิดขึ้นเมื่อ sshd พยายามจัดการสัญญาณที่ถูกส่งมาในระหว่างกระบวนการล็อกอิน
  • ผู้โจมตีสามารถใช้ประโยชน์จากเงื่อนไขการแข่งขันนี้เพื่อบายพาสกระบวนการตรวจสอบสิทธิ์และเข้าถึงระบบได้สำเร็จ

Cisco ได้ระบุว่าผลิตภัณฑ์หลายรายการในหลากหลายหมวดหมู่ได้รับผลกระทบจากช่องโหว่นี้ บริษัทกำลังดำเนินการตรวจสอบผลิตภัณฑ์ทั้งหมดเพื่อกำหนดขอบเขตของอุปกรณ์ที่ได้รับผลกระทบ ตารางต่อไปนี้แสดงรายการผลิตภัณฑ์ที่ได้รับผลกระทบและ Cisco Bug ID ที่เกี่ยวข้อง

Cisco Bug ID

1. Network and Content Security Devices

  • Adaptive Security Appliance (ASA) Software : CSCwk61618
  • Firepower Management Center (FMC) Software : CSCwk61618
  • Firepower Threat Defense (FTD) Software : CSCwk61618
  • FXOS Firepower Chassis Manager : CSCwk62297
  • Identity Services Engine (ISE) : CSCwk61938
  • Secure Network Analytics : CSCwk62315

2. Network Management and Provisioning

  • Crosswork Data Gateway : CSCwk62311 (7.0.0 (Aug 2024))
  • Cyber Vision : CSCwk62289
  • DNA Spaces Connector : CSCwk62273
  • Prime Infrastructure : CSCwk62276
  • Smart Software Manager On-Prem : CSCwk62288
  • Virtualized Infrastructure Manager : CSCwk62277

3. Routing and Switching – Enterprise and Service Provider

  • ASR 5000 Series Routers : CSCwk62248
  • Nexus 3000 Series Switches : CSCwk61235
  • Nexus 9000 Series Switches in standalone NX-OS mode : CSCwk61235

4. Unified Computing

  • Intersight Virtual Appliance : CSCwk63145

5. Voice and Unified Communications Devices

  • Emergency Responder : CSCwk63694
  • Unified Communications Manager : CSCwk62318
  • Unified Communications Manager IM & Presence Service : CSCwk63634
  • Unity Connection : CSCwk63494

6. Video, Streaming, TelePresence, and Transcoding Devices

  • Cisco Meeting Server : CSCwk62286 (SMU – CMS 3.9.2 (Aug 2024))

ทีมตอบสนองต่อเหตุการณ์ความปลอดภัยของผลิตภัณฑ์ Cisco (PSIRT) ทราบว่ามีโค้ดสาธิตการโจมตี (proof-of-concept exploit code) สำหรับช่องโหว่นี้อยู่ อย่างไรก็ตาม การโจมตีต้องมีการปรับแต่งแบบเฉพาะทางในการใช้งาน และยังไม่มีรายงานการใช้งานที่เป็นอันตราย Cisco ยังคงประเมินผลกระทบต่อผลิตภัณฑ์และบริการทั้งหมด และจะปรับปรุงประกาศแจ้งเตือนนี้เมื่อมีข้อมูลใหม่เข้ามา ช่องโหว่ regreSSHion ถือว่าเป็นความเสี่ยงสำคัญต่อผลิตภัณฑ์หลากหลายของ Cisco ขอให้ลูกค้าปฏิบัติตามคำแนะนำของ Cisco และใช้แพตช์และมาตรการบรรเทาที่จำเป็นเพื่อป้องกันระบบของตนจากการถูกโจมตีที่อาจเกิดขึ้น

วิธีป้องกัน

  1. จำกัดการเข้าถึง SSH เฉพาะโฮสต์ที่เชื่อถือได้เท่านั้น โดยสามารถทำได้โดยการใช้รายการควบคุมการเข้าถึง (ACLs) ที่มีติดมากับผลิตภัณฑ์ เพื่อป้องกันการเข้าถึง SSH โดยไม่ได้รับอนุญาต
  2. อัปเกรด SSH ให้เป็นเวอร์ชันที่ได้รับการแก้ไขล่าสุดของ OpenSSH (9.8p1) โดยทันที
  3. ปรับค่าพารามิเตอร์ LoginGraceTime: ตั้งค่าพารามิเตอร์เป็น 0 ในไฟล์การกำหนดค่า sshd เพื่อป้องกันการเกิด race condition

ข้อมูลอ้างอิง

Cisco Warns of regreSSHion RCE Impacting Multiple Products | cybersecuritynews