TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Cisco ออกคำเตือนเกี่ยวกับ attack variant ใหม่ที่กำลังโจมตีอุปกรณ์ Firewall ที่มีช่องโหว่ CVE-2025-20333 และ CVE-2025-20362 ทำให้อุปกรณ์ reload ซ้ำๆ จนเกิด DoS โดยการโจมตีดังกล่าวเกิดขึ้นต่อเนื่องมาแล้วอย่างน้อย 6 เดือนตั้งแต่เดือนพฤษภาคม
Cisco เริ่มดำเนินการร่วมกับหน่วยงานภาครัฐหลายแห่งในการตรวจสอบการโจมตีนี้ตั้งแต่เดือนพฤษภาคม โดยพบว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่หลายรายการที่ยังไม่มีการเปิดเผยและใช้เทคนิคการหลบหลีกขั้นสูง เช่น ปิด logging ดักจับคำสั่ง CLI และทำให้อุปกรณ์ crash เพื่อป้องกันการวิเคราะห์ ในบางกรณีผู้โจมตีแก้ไข ROM Monitor (ROMmon) เพื่อสร้าง persistence แม้หลังจาก reboot หรืออัพเกรดซอฟต์แวร์แล้ว UK National Cyber Security Centre และ US Cybersecurity and Infrastructure Security Agency ได้ออกคำเตือนเกี่ยวกับการโจมตีช่องโหว่นี้ โดยมีเหยื่อรวมถึงหน่วยงานภาครัฐสหรัฐฯ อย่างน้อย 1 แห่ง การโจมตีนี้เชื่อมโยงกับกลุ่ม threat actor ที่อยู่เบื้องหลังการโจมตี ArcaneDoor ซึ่งได้รับการระบุว่าเป็น UAT4356
นอกจากนี้ Cisco ยังเปิดเผยช่องโหว่ Critical 2 รายการบน Unified Contact Center Express (UCCX) ที่ทำให้ผู้โจมตีสามารถอัพโหลดไฟล์ได้ รันคำสั่งด้วยสิทธิ์ root หรือ bypass authentication เพื่อรันสคริปต์ในฐานะ non-root user ช่องโหว่ CVE-2025-20354 มีคะแนน CVSS 9.8 เกิดจาก Java Remote Method Invocation (RMI) process ที่มีกลไกการ authentication ไม่เหมาะสม ในขณะที่ CVE-2025-20358 มีคะแนน CVSS 9.4 เป็นช่องโหว่ authentication bypass ระหว่าง CCX Editor และ Unified CCX server ช่องโหว่ทั้งสองส่งผลกระทบต่อ Cisco Unified CCX ทุกเวอร์ชัน
Cisco แนะนำให้ผู้ใช้งานอัพเกรดไปยัง fixed software release ได้แก่ version 12.5 SU3 ES07 หรือ 15.0 ES01 เพื่อแก้ไขช่องโหว่บน UCCX โดยด่วน แม้ว่า Cisco จะระบุว่ายังไม่พบการโจมตีช่องโหว่ทั้งสอง แต่ขอแนะนำให้ patch ทันทีเนื่องจากระดับความรุนแรงที่สูง สำหรับช่องโหว่บน ASA และ FTD Firewall Cisco ได้ปล่อย patch ตั้งแต่เดือนกันยายน แต่การโจมตียังคงดำเนินต่อไป ผู้ดูแลระบบควรตรวจสอบว่าอุปกรณ์ได้รับการแพตช์แล้วและติดตาม security advisory อย่างใกล้ชิด
ที่มา: https://www.theregister.com/2025/11/06/cisco_firewall_ongoing_attacks/
