คำเตือนเกี่ยวกับการแฮกอุปกรณ์ของ Cisco และช่องโหว่ที่ยังไม่ได้รับการแก้ไข

CISA เตือนองค์กรต่างๆ เกี่ยวกับการละเมิดฟีเจอร์ Cisco Smart Install ในขณะที่ Cisco กำลังแจ้งเตือนลูกค้าเกี่ยวกับช่องโหว่ร้ายแรงในโทรศัพท์ที่ยังไม่ได้รับการแก้ไข

เมื่อวันพฤหัสบดีที่ผ่านมา หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐอเมริกา (CISA) ได้แจ้งเตือนองค์กรต่างๆ เกี่ยวกับกลุ่มผู้ไม่หวังดีที่มุ่งเป้าไปที่อุปกรณ์ Cisco ที่ถูกตั้งค่าไม่ถูกต้อง

ทางหน่วยงานได้สังเกตเห็นว่ามีแฮกเกอร์ใช้โปรโตคอลหรือซอฟต์แวร์ที่มีอยู่ เช่น ฟีเจอร์ Cisco Smart Install (SMI) รุ่นเก่า ในการดึงข้อมูลไฟล์การตั้งค่าของระบบ

ฟีเจอร์นี้ถูกใช้งานในทางที่ผิดมาเป็นเวลาหลายปีแล้วในการควบคุมสวิตช์ของ Cisco และนี่ไม่ใช่ครั้งแรกที่รัฐบาลสหรัฐฯ ออกคำเตือนเกี่ยวกับเรื่องนี้

“CISA ยังพบว่ามีการใช้รหัสผ่านที่อ่อนแอในอุปกรณ์เครือข่ายของ Cisco” หน่วยงานระบุเมื่อวันพฤหัสบดี “ประเภทของรหัสผ่านที่ Cisco ใช้คือประเภทของอัลกอริทึมที่ใช้ในการรักษาความปลอดภัยรหัสผ่านของอุปกรณ์ Cisco ภายในไฟล์การตั้งค่าของระบบ การใช้รหัสผ่านที่อ่อนแอเปิดโอกาสให้เกิดการโจมตีด้วยการแคร็กรหัสผ่านได้”

“เมื่อผู้ไม่หวังดีสามารถเข้าถึงระบบได้ พวกเขาจะสามารถเข้าถึงไฟล์การตั้งค่าของระบบได้อย่างง่ายดาย การเข้าถึงไฟล์การตั้งค่าเหล่านี้และรหัสผ่านของระบบสามารถเปิดโอกาสให้กลุ่มผู้ไม่หวังดีโจมตีเครือข่ายของเหยื่อได้” CISA กล่าวเสริม

หลังจากที่ CISA เผยแพร่คำเตือน องค์กรไม่แสวงหากำไรด้านความปลอดภัยทางไซเบอร์ The Shadowserver Foundation ได้รายงานว่าพบ IP กว่า 6,000 รายการที่มีฟีเจอร์ Cisco SMI เปิดเผยต่ออินเทอร์เน็ต

ในวันพุธที่ผ่านมา Cisco ได้แจ้งลูกค้าเกี่ยวกับช่องโหว่ร้ายแรงสามจุดและช่องโหว่ระดับความรุนแรงสูงสองจุดที่พบในโทรศัพท์ IP ซีรีส์ Small Business SPA300 และ SPA500

ช่องโหว่เหล่านี้สามารถทำให้ผู้โจมตีสามารถรันคำสั่งที่กำหนดเองบนระบบปฏิบัติการหรือทำให้เกิดภาวะ DoS (Denial of Service) ได้

แม้ว่าช่องโหว่เหล่านี้จะเป็นภัยคุกคามร้ายแรงต่อองค์กร เนื่องจากสามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตน แต่ Cisco จะไม่ปล่อยแพตช์แก้ไขเนื่องจากผลิตภัณฑ์เหล่านี้ได้หมดอายุการใช้งานแล้ว

ในวันพุธเดียวกันนี้เอง บริษัท Cisco ยังแจ้งลูกค้าว่ามีการเผยแพร่โค้ด Proof-of-Concept (PoC) สำหรับช่องโหว่ร้ายแรงใน Smart Software Manager On-Prem ซึ่งระบุด้วยรหัส CVE-2024-20419 ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลโดยไม่ต้องมีการยืนยันตัวตนเพื่อเปลี่ยนรหัสผ่านของผู้ใช้ได้

Shadowserver รายงานว่าพบเพียง 40 กรณีบนอินเทอร์เน็ตที่ได้รับผลกระทบจาก CVE-2024-20419

 

Credit: Security.com