เมนู

Cisco เตือนช่องโหว่ Zero-Day ใน IOS

2023-09-29 Cisco IOS-300

27 สิงหาคม 2566

Cisco ประกาศเตือนผู้ใช้งาน เพื่อทำการแพตซ์ช่องโหว่ Zero-Day บนซอฟต์แวร์ IOS และ IOS XE ซึ่งกำลังตกเป็นเป้าหมายของผู้โจมตี
 
จากการค้นพบของ X.B. โดย Cisco Advanced Security Initiatives Group (ASIG) พบว่าเป็นช่องโหว่ CVE-2023-20109 ที่มีความรุนแรงระดับปานกลาง เกิดขึ้นจากขาดการตรวจสอบคุณสมบัติถายใน GDOI (Group Domain of Interpretation) และโปรโตคอล G-IKEv2 ของฟีเจอร์ GET VPN
 
แต่ยังถือเป็นเรื่องโชคดี เพราะการที่ผู้บุกรุกจะใช้ประโยชน์จากช่องโหว่นี้ทำการโจมตีได้สำเร็จ จำเป็นต้องมีสิทธิในการบริหาร Key Server หรือ Group Member ซึ่งนั่นอาจหมายความได้ว่า ผู้บุกรุกแฝงตัวเข้ามาอยู่ภายในตัวระบบเป็นที่เรียบร้อยแล้ว สามารถมองเห็นการสื่อสารทั้งหมดระหว่าง Key Server หรือ Group Member แม้จะเป็นข้อมูลที่เข้ารหัสและจำเป็นต้องยืนยันตัวตนก็ตาม
 
ผู้บุกรุกอาจใช้ประโยชน์จากช่องโหว่ดังกล่าวเพื่อยึดครอง Key Server หรือแก้ไขคุณสมบัติของ Group Member เพื่อให้ชี้ไปยัง Key Server อื่นที่ผู้บุกรุกสามารถควบคุมได้ ซึ่งหากดำเนินการได้สำเร็จจะส่งผลให้ผู้บุกรุกสามารถเรียกใช้ชุดคำสั่งที่สร้างขึ้นมาเองได้และได้รับสิทธิ Full Control ในระบบที่ได้รับผลกระทบ สามารถ Reload และอาจส่งผลให้เกิด Denial of Service (DoS) ได้ในที่สุด
 
ช่องโหว่ Zero-Day รายการนี้ส่งผลกระทบกับผลิตภัณฑ์ของ Cisco หลายรายการที่ใช้ซอฟต์แวร์ IOS หรือ IOS XE ที่เปิดใช้งานงาน (Enable) โปรโตคอล GDOI หรือ G-IKEv2 ในขณะที่ผลิตภัณฑ์ Meraki และผลิตภัณฑ์อื่นๆ ที่ใช้ซอฟต์แวร์ IOS XR และ NX-OS จะไม่ได้รับผลกระทบจากการโจมตีผ่านช่องโหว่ CVE-2023-20109 ในครั้งนี้
 
Cisco ได้ค้นพบความผิดปกติของการใช้งานฟีเจอร์ GET VPN โดยได้ตรวจสอบเชิงเทคนิค (Technical Review) จนได้พบช่องโหว่ดังกล่าวระหว่างการตรวจสอบภายใน ซึ่งแนะนำให้ผู้ใช้งานดำเนินการอัปเกรดเพื่อปรับปรุงซอฟต์แวร์เป็นเวอร์ชั่นที่ได้รับการแก้ไขแล้ว
 
พร้อมกันนี้ Cisco ได้ประกาศแพตซ์ด้านความปลอดภัย (Security Patch) เพื่อแก้ไขช่องโหว่ระดับวิกฤต (Critical) ใน Security Assertion Markup Language (SAML) APIs ของซอฟต์แวร์ Catalyst SD-WAN Manager ซึ่งส่งผลกระทบให้ผู้โจมตีที่มิได้ยืนยันตัวตนได้รับสิทธิในการเข้าถึงแอพพลิเคชั่นได้ในฐานะผู้ลักลอบใช้งาน