แคมเปญไซเบอร์ที่กำลังดำเนินอยู่ซึ่งกำหนดเป้าหมายไปที่ระบบปฏิบัติการ Cisco Internetworking eXtended Edition
-
Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับรายงานแคมเปญไซเบอร์ที่เกิดขึ้นอย่างต่อเนื่อง โดยกำหนดเป้าหมายไปที่ซอฟต์แวร์ Cisco IOS XE ที่เชื่อมต่อผ่านอินเทอร์เน็ตและไม่ได้รับการแก้ไข ซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก
มีรายงานเกี่ยวกับแคมเปญไซเบอร์ที่มุ่งเป้าไปที่ช่องโหว่หมายเลข CVE-2023-20198 และ CVE-2023-20273 ในซอฟต์แวร์ Cisco Internetworking Operating System eXtended Edition (IOS XE) ที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่ได้รับการแก้ไขซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก CVE-2023-20198 มีคะแนน Common Vulnerability Scoring System (CVSSv3.1) อยู่ที่ 10 คะแนน
จุดอ่อนที่พบได้คือ
-
CVE-2023-20198: ช่องโหว่การยกระดับสิทธิ์ในฟีเจอร์อินเทอร์เฟซผู้ใช้บนเว็บ (UI) ของ Cisco IOS XE ซึ่งช่วยให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจรับรองสามารถสร้างบัญชีที่มีสิทธิ์การดูแลระบบเต็มรูปแบบได้ (ระดับสิทธิ์ 15)
-
CVE-2023-20273: ช่องโหว่การเพิ่มสิทธิ์ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจด้วยสิทธิ์รูทได้
ทั้ง CVE-2023-20198 และ CVE-2023-20273 สามารถเชื่อมโยงเข้าด้วยกันเพื่อใช้ประโยชน์จากฟีเจอร์ UI บนเว็บใน Cisco IOS XE สำหรับการเข้าถึงเบื้องต้นก่อนที่จะใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์เพื่อรับสิทธิ์รูท มีรายงานว่าผู้โจมตีสร้างอุโมงค์ Generic Routing Encapsulation (GRE) บนเราเตอร์ Cisco ที่ถูกบุกรุกเพื่อห่อหุ้มโปรโตคอลเครือข่ายผ่านเครือข่าย IP
ช่องโหว่เหล่านี้จะส่งผลต่อซอฟต์แวร์ Cisco IOS XE หากเปิดใช้งานฟีเจอร์ Web UI ฟีเจอร์ Web UI จะเปิดใช้งานได้ผ่านคำสั่งip http serverหรือip http secure-server
ขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบของผลิตภัณฑ์ที่ได้รับผลกระทบอัปเดตเป็นเวอร์ชันล่าสุดทันที สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำอย่างเป็นทางการของ Cisco: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html
หากไม่สามารถทำการอัปเดตทันทีได้ ผู้ดูแลระบบควรปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP จนกว่าจะอัปเกรดอุปกรณ์ที่ได้รับผลกระทบได้ ผู้ดูแลระบบสามารถปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP ได้โดยใช้ คำสั่ง no ip http serverหรือno ip http secure-serverในโหมดการกำหนดค่าทั่วไป หากใช้งานทั้งเซิร์ฟเวอร์ HTTP และเซิร์ฟเวอร์ HTTP Secure จำเป็นต้องใช้คำสั่งทั้งสองคำสั่งเพื่อปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP เพื่อจำกัดการเปิดเผยต่อช่องโหว่เหล่านี้ ผู้ดูแลระบบควรอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากเครือข่ายที่เชื่อถือได้เท่านั้น ตัวอย่างต่อไปนี้แสดงวิธีอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากระยะไกลจากเครือข่าย 192.168.0.0/24 ที่เชื่อถือได้
ขอแนะนำให้ผู้ดูแลระบบตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายของตนเพื่อหาสัญญาณของการรับส่งข้อมูล GRE tunneling ที่เป็นอันตรายภายในเครือข่าย
- ปริมาณการรับส่งข้อมูลที่ไม่คาดคิดจากที่อยู่ IP ที่ผิดปกติ
- เพย์โหลดและโปรโตคอลที่ไม่ธรรมดา เช่น RDP หรือ SMB
- ปริมาณข้อมูลสูงในบันทึกอาจบ่งชี้ถึงการขโมยข้อมูลที่อาจเกิดขึ้นได้
การวิเคราะห์ปริมาณการรับส่งข้อมูล GRE ใน Wireshark
1.กรองการรับส่งข้อมูล GRE: ใช้ตัวกรองการแสดงผล GRE
2.วิเคราะห์ GRE Header: ฟิลด์หลักได้แก่ ประเภทโปรโตคอล (เช่น 0x0800 สำหรับ IPv4, 0x86DD สำหรับ IPv6) และแฟล็ก/ตัวเลือก
3.ตรวจสอบเพย์โหลดที่หุ้มไว้: ขยายส่วน “โปรโตคอลที่หุ้มไว้” เพื่อตรวจสอบแพ็กเก็ตภายใน
4.ระบุจุดสิ้นสุดของอุโมงค์: ตรวจสอบที่อยู่ต้นทางและปลายทางของส่วนหัว IP ภายนอก
5ตรวจสอบย้อนกลับกับ NetFlow: ตรวจสอบการรับส่งข้อมูลด้วยโปรโตคอล IP 47 และจับคู่ที่อยู่ภายนอกอ้างอิง
https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-017สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand
-
