NCSA Webboard
    • ล่าสุด
    • แท็ก
    • ฮิต
      • ติดต่อสำนักงาน
    • ลงทะเบียน
    • เข้าสู่ระบบ

    แคมเปญไซเบอร์ที่กำลังดำเนินอยู่ซึ่งกำหนดเป้าหมายไปที่ระบบปฏิบัติการ Cisco Internetworking eXtended Edition

    Cyber Security News
    1
    1
    73
    โหลดโพสเพิ่มเติม
    • เก่าสุดไปยังใหม่สุด
    • ใหม่สุดไปยังเก่าสุด
    • Most Votes
    ตอบ
    • ตอบโดยตั้งกระทู้ใหม่
    เข้าสู่ระบบเพื่อตอบกลับ
    Topic นี้ถูกลบไปแล้ว เฉพาะผู้ใช้งานที่มีสิทธิ์ในการจัดการ Topic เท่านั้นที่จะมีสิทธิ์ในการเข้าชม
    • NCSA_THAICERTN
      NCSA_THAICERT
      แก้ไขล่าสุดโดย

      Cyber Security Agency of Singapore (CSA)ได้เผยแพร่เกี่ยวกับรายงานแคมเปญไซเบอร์ที่เกิดขึ้นอย่างต่อเนื่อง โดยกำหนดเป้าหมายไปที่ซอฟต์แวร์ Cisco IOS XE ที่เชื่อมต่อผ่านอินเทอร์เน็ตและไม่ได้รับการแก้ไข ซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก

      มีรายงานเกี่ยวกับแคมเปญไซเบอร์ที่มุ่งเป้าไปที่ช่องโหว่หมายเลข CVE-2023-20198 และ CVE-2023-20273 ในซอฟต์แวร์ Cisco Internetworking Operating System eXtended Edition (IOS XE) ที่เชื่อมต่อกับอินเทอร์เน็ตที่ไม่ได้รับการแก้ไขซึ่งเกี่ยวข้องกับผู้ให้บริการโทรคมนาคมทั่วโลก CVE-2023-20198 มีคะแนน Common Vulnerability Scoring System (CVSSv3.1) อยู่ที่ 10 คะแนน

      จุดอ่อนที่พบได้คือ

      • CVE-2023-20198: ช่องโหว่การยกระดับสิทธิ์ในฟีเจอร์อินเทอร์เฟซผู้ใช้บนเว็บ (UI) ของ Cisco IOS XE ซึ่งช่วยให้ผู้โจมตีจากระยะไกลที่ไม่ผ่านการตรวจรับรองสามารถสร้างบัญชีที่มีสิทธิ์การดูแลระบบเต็มรูปแบบได้ (ระดับสิทธิ์ 15)

      • CVE-2023-20273: ช่องโหว่การเพิ่มสิทธิ์ซึ่งช่วยให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจด้วยสิทธิ์รูทได้

      ทั้ง CVE-2023-20198 และ CVE-2023-20273 สามารถเชื่อมโยงเข้าด้วยกันเพื่อใช้ประโยชน์จากฟีเจอร์ UI บนเว็บใน Cisco IOS XE สำหรับการเข้าถึงเบื้องต้นก่อนที่จะใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์เพื่อรับสิทธิ์รูท มีรายงานว่าผู้โจมตีสร้างอุโมงค์ Generic Routing Encapsulation (GRE) บนเราเตอร์ Cisco ที่ถูกบุกรุกเพื่อห่อหุ้มโปรโตคอลเครือข่ายผ่านเครือข่าย IP

      ช่องโหว่เหล่านี้จะส่งผลต่อซอฟต์แวร์ Cisco IOS XE หากเปิดใช้งานฟีเจอร์ Web UI ฟีเจอร์ Web UI จะเปิดใช้งานได้ผ่านคำสั่งip http serverหรือip http secure-server

      ขอแนะนำให้ผู้ใช้งานและผู้ดูแลระบบของผลิตภัณฑ์ที่ได้รับผลกระทบอัปเดตเป็นเวอร์ชันล่าสุดทันที สำหรับคำแนะนำโดยละเอียด โปรดดูคำแนะนำอย่างเป็นทางการของ Cisco: https://www.cisco.com/c/en/us/support/docs/ios-nx-os-software/ios-xe-dublin-17121/221128-software-fix-availability-for-cisco-ios.html

      หากไม่สามารถทำการอัปเดตทันทีได้ ผู้ดูแลระบบควรปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP จนกว่าจะอัปเกรดอุปกรณ์ที่ได้รับผลกระทบได้ ผู้ดูแลระบบสามารถปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP ได้โดยใช้ คำสั่ง no ip http serverหรือno ip http secure-serverในโหมดการกำหนดค่าทั่วไป หากใช้งานทั้งเซิร์ฟเวอร์ HTTP และเซิร์ฟเวอร์ HTTP Secure จำเป็นต้องใช้คำสั่งทั้งสองคำสั่งเพื่อปิดใช้งานฟีเจอร์เซิร์ฟเวอร์ HTTP เพื่อจำกัดการเปิดเผยต่อช่องโหว่เหล่านี้ ผู้ดูแลระบบควรอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากเครือข่ายที่เชื่อถือได้เท่านั้น ตัวอย่างต่อไปนี้แสดงวิธีอนุญาตให้เข้าถึงเซิร์ฟเวอร์ HTTP จากระยะไกลจากเครือข่าย 192.168.0.0/24 ที่เชื่อถือได้

      ขอแนะนำให้ผู้ดูแลระบบตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายของตนเพื่อหาสัญญาณของการรับส่งข้อมูล GRE tunneling ที่เป็นอันตรายภายในเครือข่าย

      • ปริมาณการรับส่งข้อมูลที่ไม่คาดคิดจากที่อยู่ IP ที่ผิดปกติ
      • เพย์โหลดและโปรโตคอลที่ไม่ธรรมดา เช่น RDP หรือ SMB
      • ปริมาณข้อมูลสูงในบันทึกอาจบ่งชี้ถึงการขโมยข้อมูลที่อาจเกิดขึ้นได้

      การวิเคราะห์ปริมาณการรับส่งข้อมูล GRE ใน Wireshark
      1.กรองการรับส่งข้อมูล GRE: ใช้ตัวกรองการแสดงผล GRE
      2.วิเคราะห์ GRE Header: ฟิลด์หลักได้แก่ ประเภทโปรโตคอล (เช่น 0x0800 สำหรับ IPv4, 0x86DD สำหรับ IPv6) และแฟล็ก/ตัวเลือก
      3.ตรวจสอบเพย์โหลดที่หุ้มไว้: ขยายส่วน “โปรโตคอลที่หุ้มไว้” เพื่อตรวจสอบแพ็กเก็ตภายใน
      4.ระบุจุดสิ้นสุดของอุโมงค์: ตรวจสอบที่อยู่ต้นทางและปลายทางของส่วนหัว IP ภายนอก
      5ตรวจสอบย้อนกลับกับ NetFlow: ตรวจสอบการรับส่งข้อมูลด้วยโปรโตคอล IP 47 และจับคู่ที่อยู่ภายนอก

      อ้างอิง
      https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2025-017

      สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 152cda20-6cf1-4f94-b085-6ee6ba5fc4c3-image.png

      1 การตอบกลับ คำตอบล่าสุด ตอบ คำอ้างอิง 0
      • First post
        Last post