เตือน! ช่องโหว่ 0-Day บน CISCO IOS ใช้โจมตีจริงแล้วเป็นวงกว้าง

Cisco ได้เตือนถึงข้อบกพร่องด้านความปลอดภัยที่สำคัญและยังไม่ได้รับการแก้ไขซึ่งส่งผลกระทบต่อ software IOS XE
ช่องโหว่แบบ Zero-day ที่ฝังอยู่ในฟีเจอร์ Web UI ได้รับการติดตามเป็น CVE-2023-20198 และได้รับการกำหนดระดับความรุนแรงสูงสุดที่ 10.0 บนระบบการให้คะแนน CVSS ข้อบกพร่องนี้มีผลเฉพาะกับอุปกรณ์เครือข่ายองค์กรที่เปิดใช้งานคุณสมบัติ Web UI และเมื่อมีการเปิดเผยต่ออินเทอร์เน็ตหรือเครือข่ายที่ไม่น่าเชื่อถือ

ช่องโหว่นี้ทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องสามารถสร้างบัญชีบนระบบที่ได้รับผลกระทบด้วยสิทธิ์การเข้าถึงระดับ 15 ปัญหาดังกล่าวส่งผลกระทบต่อทั้งอุปกรณ์จริงและเสมือนที่ใช้ Software Cisco IOS XE ซึ่งเปิดใช้งานคุณสมบัติเซิร์ฟเวอร์ HTTP หรือ HTTPS ด้วย

พบปัญหาหลังจากตรวจพบกิจกรรมที่เป็นอันตรายบนอุปกรณ์ของลูกค้าที่ไม่ปรากฏชื่อตั้งแต่วันที่ 18 กันยายน 2566 ซึ่งผู้ใช้ที่ได้รับอนุญาตได้สร้างบัญชีผู้ใช้ภายในเครื่องภายใต้ชื่อผู้ใช้ "cisco_tac_admin" จากที่อยู่ IP ที่น่าสงสัย

ในกลุ่มที่สองของกิจกรรมที่เกี่ยวข้องซึ่งพบเมื่อวันที่ 12 ตุลาคม 2023 ผู้ใช้ที่ไม่ได้รับอนุญาตได้สร้างบัญชีผู้ใช้ในเครื่องภายใต้ชื่อ "cisco_support" จากที่อยู่ IP อื่น ตามมาด้วยชุดของการกระทำที่ถึงจุดสูงสุดด้วยการติดตั้งอุปกรณ์ฝังแบบ Lua ซึ่งช่วยให้สามารถดำเนินการคำสั่งต่างๆ ได้ตามใจชอบในระดับระบบหรือระดับ IOS การติดตั้งอุปกรณ์ฝังทำได้โดยการใช้ประโยชน์จาก CVE-2021-1435 ซึ่งเป็นข้อบกพร่องที่ได้รับการติดตั้งแล้ว ซึ่งส่งผลกระทบต่อ UI เว็บของ Software Cisco IOS XE รวมถึงกลไกที่ยังไม่ทราบแน่ชัดในกรณีที่ระบบได้รับการแพตช์โดยสมบูรณ์กับ CVE -2021-1435.

“เพื่อให้อุปกรณ์ที่ถูกฝังสามารถทำงานได้ ต้องรีสตาร์ทเว็บเซิร์ฟเวอร์ แต่ในกรณีที่สังเกตพบอย่างน้อยหนึ่งกรณี เซิร์ฟเวอร์นั้นไม่ได้รีสตาร์ท ดังนั้นอุปกรณ์ที่ถูกฝังจึงไม่ทำงานแม้จะติดตั้งแล้วก็ตาม”  backdoor ที่บันทึกไว้ภายใต้ file path "/usr/binos/conf/nginx-conf/cisco_service.conf" จะไม่สามารถรีบูตอุปกรณ์ได้ อย่างไรก็ตาม บัญชีที่ถูกสร้างขึ้นยังคงใช้งานได้ต่อไป

“นี่เป็นสถานการณ์ที่ไม่ดี เนื่องจากการเข้าถึงแบบมีสิทธิพิเศษบน IOS XE มีแนวโน้มที่จะทำให้ผู้โจมตีสามารถตรวจสอบการรับส่งข้อมูลเครือข่าย สลับไปยังเครือข่ายที่ได้รับการป้องกัน“

คำแนะนำเพิ่มเติม

  • สำหรับผู้ดูแลระบบให้มองหาบัญชีผู้ใช้ที่น่าสงสัยหรือสร้างขึ้นเมื่อเร็วๆ นี้ ซึ่งอาจถือเป็นสัญญาณของกิจกรรมที่เป็นอันตรายที่เชื่อมโยงกับภัยคุกคามนี้
  • ให้ปิดใช้ฟีเจอร์เซิร์ฟเวอร์ HTTP บนระบบที่เชื่อมต่อกับอินเทอร์เน็ต

ref: https://thehackernews.com/2023/10/warning-unpatched-cisco-zero-day.html

Related Posts

โมดูล Facebook สำหรับ PrestaShop ถูกใช้เพื่อขโมยข้อมูลบัตรเครดิต

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน

Read more

อาชญากรไซเบอร์ใช้ Stack Overflow ในการแพร่กระจาย Malware

นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว

Read more

Google ปล่อยแพตช์แก้ไขช่องโหว่ Zero-Day บน Browser Chrome

Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว

Read more
© 2024 INFINITY. All rights reserved.
Terms of Use
Privacy Policy