Cisco เตือนพบช่องโหว่ Zero-day บน Firepower และ ASA

ทีมงานของ Cisco ได้ค้นพบช่องโหว่หมายเลข CVE-2018-15454 ที่เกิดกับกลไก inspection ใน Session Initiation Protocol (SIP) ซึ่งนำไปสู่การโจมตีแบบ DoS ต่ออุปกรณ์ได้บนผลิตภัณฑ์ Firepower และ ASA โดยจนถึงขณะนี้ยังไม่มีแพตช์ออกมาแต่อย่างใด

Credit: ShutterStock.com

แฮ็กเกอร์สามารถทำการใช้ช่องโหว่ได้โดยสร้างแพ็กเกจ Request ของ SIP จำนวนมากไปยังอุปกรณ์ของเหยื่อเพื่อทำให้เกิด DoS เพราะเกิดการใช้งาน CPU หนักจนทำให้อุปกรณ์อาจค้างหรือต้องรีโหลดใหม่ โดย SIP Inspection เป็นค่าพื้นฐานที่ถูกเปิดไว้ในซอฟต์แวร์ของ ASA และ Firepower ซึ่ง Cisco เผยว่าซอฟต์แวร์ ASA เวอร์ชัน 9.4 หรือสูงกว่า และซอฟต์แวร์ Firepower เวอร์ชัน 6.0 หรือสูงกว่าต่างได้รับผลกระทบ สามารถดูผลิตภัณฑ์ที่ได้รับผลกระทบตามด้านล่าง

  • Industrial Security Appliance หรือ ISA ซีรีส์ 3000
  • Next-gen Firewall ASA เวอร์ชัน 5500-X
  • โมดูล ASA สำหรับ Switch Cisco Catalyst ซีรีส์ 6500 และ Router ซีรีส์ 7600
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower Appliance ซีรีส์ 2100 และ 4100
  • โมดูล Firepower 9300 ASA
  • FTD Virtual (FTDv)

อย่างไรก็ตามขณะที่ยังไม่มีแพตช์ออกมาจากทาง Cisco ซึ่งมีคำแนะนำให้บรรเทาปัญหาเบื้องต้น 3 ข้อคือ

  1. ปิด SIP Inspection
  2. สามารถใช้ฟีเจอร์ Traffic Filtering บน ASA และ FTD บล็อก IP ของผู้โจมตีได้หากรู้หมายเลขแน่ชัด
  3. คัดกรองทราฟฟิคที่มีข้อมูลในฟิลด์ ‘Sent-by Address’ ที่มีค่า 0.0.0.0 ออกไปเพราะ Cisco พบว่าหลายครั้งมีค่าดังกล่าวในการโจมตีที่เคยเกิดขึ้น

นอกจากนี้หากผู้ดูแลระบบสงสัยว่ากำลังถูกโจมตีอยู่ทาง Cisco แนะว่าสามารถใช้คำสั่ง ‘show conn port 5060’ ถ้าพบว่ามีการเชื่อม SIP ที่ไม่สมบูรณ์จำนวนมากก็อาจถูกโจมตีอยู่หรือใช้คำสั่ง ‘show process cpu-usage non-zero sorted’ เพื่อดูว่า CPU สูงเกินปกติหรือไม่ก็ได้เช่นกัน

ที่มา : https://www.securityweek.com/cisco-warns-zero-day-vulnerability-security-appliances และ https://www.zdnet.com/article/cisco-zero-day-exploited-in-the-wild-to-crash-and-reload-devices/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

F5 ประกาศเปิดตัว NGINX One รวมศูนย์การจัดการทุกความสามารถ

NGINX One เป็นการบูรณาการความสามารถ Load Balancing, API Gateway, Security และ ความสามารถด้านเว็ปแอปพลิเคชันเข้าด้วยกัน พูดง่ายๆคือตอนนี้ผู้ใช้สามารถจัดการ NGINX และ NGINX Open Source ในหน้าต่างเดียวกันได้แล้ว

Microsoft ประกาศพร้อมใช้งาน Windows App

Windows App เป็นแอปพลิเคชันที่จะช่วยให้สามารถเข้าถึงแอปพลิเคชันต่างๆของ Microsoft ได้ ซึ่งเป็นการรวมศูนย์การเข้าถึงให้ง่ายต่อการใช้และการจัดการ โดยมีแผนไปถึงการทดแทน Remote Desktop Client ด้วยที่แอดมินต้องเตรียมตัว