เมนู

Router กว่า 19,000 ตัว
ถูกโจมตีด้วย Remote Command Execution

2023-01-Cisco

พบ 2 ช่องโหว่ CVE-2023-20025, CVE-2023-2002ในอุปกรณ์รุ่น RV016, RV042, RV042G และ RV082 แนะผู้ใช้ปิดการใช้งานพอร์ต 443, 60443

23 มกราคม 2566

พบอุปกรณ์ Router ยี่ห้อ Cisco ที่ end-of-life (EoL) กว่า 19,000 ตัวถูกโจมตีด้วยวิธีการ Remote command execution (RCE)

ช่องโหว่ 2 รายการที่ถูกเปิดเผย ได้แก่ CVE-2023-20025 (CVSS: 9.0) เกี่ยวกับการ bypass authentication การใช้งาน และช่องโหว่ CVE-2023-2002 (CVSS: N/A) ในการรันชุดคำสั่งต่างๆใน OS ของ Router (Cisco Small Business) ในรุ่น RV016RV042, RV042G และ RV082 โดยทั้ง 4 รุ่นนี้ มีการใช้งานโฮสต์มากกว่า 12,000 โฮสต์ ที่อยู่บนอินเทอร์เน็ต

ซึ่งผู้โจมตีที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถใช้ประโยชน์จากช่องโหว่ดังกล่าว ในการ bypass การตรวจสอบความถูกต้อง รวมถึง HTTP requests ที่ถูกสร้างขึ้น และส่งไปยัง web-based management บนอุปกรณ์ Router ที่มีช่องโหว่ในการเข้าถึง root access

ทีม Product Security Incident Response Team (PSIRT) ยังไม่ได้ออกมาเปิดเผย หรือแนะนำในการแก้ไขปัญหาช่องโหว่ และการอัปเดตซอร์ฟแวร์ต่างๆ เนื่องจากทาง Cisco เองยังไม่พบหลักฐานที่ระบุ ผู้โจมตีได้ รวมถึงยังไม่ทราบถึงสาเหตุการโจมตีครั้งนี้ แนะนำให้ผู้ใช้งานทำการปิดใช้พอร์ต 443 และ 60443 เพื่อเป็นการป้องกันเบื้องต้น และเปลี่ยนไปใช้ Router รุ่น RV132W, RV160 หรือ RV160W แทน

 

อ้างอิง: Bleepingcomputer.com

#ข่าวไซเบอร์ #ภัยคุกคาม #Cisco #VPN #CVE-2023-20025 #SSL-VPN #CVE-2023-2002
#RV016 #RV042 #RV042G #RV082 #PSIRT #Port443 #Port60443 #RV132W #RV160 #RV160W #ข่าวCisco

Remote command execution (RCE)

Over 19,000 end-of-life Cisco routers exposed to RCE attacks