Cisco เตือนพบช่องโหว่ Zero-day บน Firepower และ ASA

ทีมงานของ Cisco ได้ค้นพบช่องโหว่หมายเลข CVE-2018-15454 ที่เกิดกับกลไก inspection ใน Session Initiation Protocol (SIP) ซึ่งนำไปสู่การโจมตีแบบ DoS ต่ออุปกรณ์ได้บนผลิตภัณฑ์ Firepower และ ASA โดยจนถึงขณะนี้ยังไม่มีแพตช์ออกมาแต่อย่างใด

Credit: ShutterStock.com

แฮ็กเกอร์สามารถทำการใช้ช่องโหว่ได้โดยสร้างแพ็กเกจ Request ของ SIP จำนวนมากไปยังอุปกรณ์ของเหยื่อเพื่อทำให้เกิด DoS เพราะเกิดการใช้งาน CPU หนักจนทำให้อุปกรณ์อาจค้างหรือต้องรีโหลดใหม่ โดย SIP Inspection เป็นค่าพื้นฐานที่ถูกเปิดไว้ในซอฟต์แวร์ของ ASA และ Firepower ซึ่ง Cisco เผยว่าซอฟต์แวร์ ASA เวอร์ชัน 9.4 หรือสูงกว่า และซอฟต์แวร์ Firepower เวอร์ชัน 6.0 หรือสูงกว่าต่างได้รับผลกระทบ สามารถดูผลิตภัณฑ์ที่ได้รับผลกระทบตามด้านล่าง

  • Industrial Security Appliance หรือ ISA ซีรีส์ 3000
  • Next-gen Firewall ASA เวอร์ชัน 5500-X
  • โมดูล ASA สำหรับ Switch Cisco Catalyst ซีรีส์ 6500 และ Router ซีรีส์ 7600
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower Appliance ซีรีส์ 2100 และ 4100
  • โมดูล Firepower 9300 ASA
  • FTD Virtual (FTDv)

อย่างไรก็ตามขณะที่ยังไม่มีแพตช์ออกมาจากทาง Cisco ซึ่งมีคำแนะนำให้บรรเทาปัญหาเบื้องต้น 3 ข้อคือ

  1. ปิด SIP Inspection
  2. สามารถใช้ฟีเจอร์ Traffic Filtering บน ASA และ FTD บล็อก IP ของผู้โจมตีได้หากรู้หมายเลขแน่ชัด
  3. คัดกรองทราฟฟิคที่มีข้อมูลในฟิลด์ ‘Sent-by Address’ ที่มีค่า 0.0.0.0 ออกไปเพราะ Cisco พบว่าหลายครั้งมีค่าดังกล่าวในการโจมตีที่เคยเกิดขึ้น

นอกจากนี้หากผู้ดูแลระบบสงสัยว่ากำลังถูกโจมตีอยู่ทาง Cisco แนะว่าสามารถใช้คำสั่ง ‘show conn port 5060’ ถ้าพบว่ามีการเชื่อม SIP ที่ไม่สมบูรณ์จำนวนมากก็อาจถูกโจมตีอยู่หรือใช้คำสั่ง ‘show process cpu-usage non-zero sorted’ เพื่อดูว่า CPU สูงเกินปกติหรือไม่ก็ได้เช่นกัน

ที่มา : https://www.securityweek.com/cisco-warns-zero-day-vulnerability-security-appliances และ https://www.zdnet.com/article/cisco-zero-day-exploited-in-the-wild-to-crash-and-reload-devices/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยพบช่องโหว่ Zero-day ใหม่ของ Windows 10 บน Task Scheduler

นักวิจัยด้านความมั่นคงปลอดภัยในนามแฝง ‘SandboxEscaper’ ได้เปิดเผยช่องโหว่ Zero-day ใหม่ไว้บน GitHub ซึ่งเกิดกับส่วน Task Scheduler ของ Windows 10 ที่นำไปสู่การยกระดับสิทธิ์ได้

นักวิจัยทยอยสาธิตช่องโหว่ BlueKeep แล้ว! แนะนำผู้ใช้งานรีบอัปเดตแพตช์

นักวิจัยจาก McAfee Labs ได้สาธิตช่องโหว่ ‘BlueKeep’ ซึ่งเป็นช่องโหว่ที่เพิ่งถูกแพตช์จาก Microsoft ให้กับ WinXP,7, Server 2003/2008/2008R2 ไปไม่กี่วันนี้โดยมีการอธิบายว่าเป็นบั๊กที่ทำให้มัลแวร์สามารถแพร่กระจายตัวเองได้เหมือน WannaCry