Cisco เตือนพบช่องโหว่ Zero-day บน Firepower และ ASA

ทีมงานของ Cisco ได้ค้นพบช่องโหว่หมายเลข CVE-2018-15454 ที่เกิดกับกลไก inspection ใน Session Initiation Protocol (SIP) ซึ่งนำไปสู่การโจมตีแบบ DoS ต่ออุปกรณ์ได้บนผลิตภัณฑ์ Firepower และ ASA โดยจนถึงขณะนี้ยังไม่มีแพตช์ออกมาแต่อย่างใด

Credit: ShutterStock.com

แฮ็กเกอร์สามารถทำการใช้ช่องโหว่ได้โดยสร้างแพ็กเกจ Request ของ SIP จำนวนมากไปยังอุปกรณ์ของเหยื่อเพื่อทำให้เกิด DoS เพราะเกิดการใช้งาน CPU หนักจนทำให้อุปกรณ์อาจค้างหรือต้องรีโหลดใหม่ โดย SIP Inspection เป็นค่าพื้นฐานที่ถูกเปิดไว้ในซอฟต์แวร์ของ ASA และ Firepower ซึ่ง Cisco เผยว่าซอฟต์แวร์ ASA เวอร์ชัน 9.4 หรือสูงกว่า และซอฟต์แวร์ Firepower เวอร์ชัน 6.0 หรือสูงกว่าต่างได้รับผลกระทบ สามารถดูผลิตภัณฑ์ที่ได้รับผลกระทบตามด้านล่าง

  • Industrial Security Appliance หรือ ISA ซีรีส์ 3000
  • Next-gen Firewall ASA เวอร์ชัน 5500-X
  • โมดูล ASA สำหรับ Switch Cisco Catalyst ซีรีส์ 6500 และ Router ซีรีส์ 7600
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower Appliance ซีรีส์ 2100 และ 4100
  • โมดูล Firepower 9300 ASA
  • FTD Virtual (FTDv)

อย่างไรก็ตามขณะที่ยังไม่มีแพตช์ออกมาจากทาง Cisco ซึ่งมีคำแนะนำให้บรรเทาปัญหาเบื้องต้น 3 ข้อคือ

  1. ปิด SIP Inspection
  2. สามารถใช้ฟีเจอร์ Traffic Filtering บน ASA และ FTD บล็อก IP ของผู้โจมตีได้หากรู้หมายเลขแน่ชัด
  3. คัดกรองทราฟฟิคที่มีข้อมูลในฟิลด์ ‘Sent-by Address’ ที่มีค่า 0.0.0.0 ออกไปเพราะ Cisco พบว่าหลายครั้งมีค่าดังกล่าวในการโจมตีที่เคยเกิดขึ้น

นอกจากนี้หากผู้ดูแลระบบสงสัยว่ากำลังถูกโจมตีอยู่ทาง Cisco แนะว่าสามารถใช้คำสั่ง ‘show conn port 5060’ ถ้าพบว่ามีการเชื่อม SIP ที่ไม่สมบูรณ์จำนวนมากก็อาจถูกโจมตีอยู่หรือใช้คำสั่ง ‘show process cpu-usage non-zero sorted’ เพื่อดูว่า CPU สูงเกินปกติหรือไม่ก็ได้เช่นกัน

ที่มา : https://www.securityweek.com/cisco-warns-zero-day-vulnerability-security-appliances และ https://www.zdnet.com/article/cisco-zero-day-exploited-in-the-wild-to-crash-and-reload-devices/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

VMware PKS 1.3 ออกแล้ว รองรับ Microsoft Azure ได้, ทำงานกับ Kubernetes ได้ดีขึ้น

VMware Pivotal Container Service หรือ VMware PKS รุ่น 1.3 ได้ประกาศเปิดตัวออกมาแล้ว โดยรองรับการทำงานร่วมกับ Microsoft Azure ได้, เสริมความสามารถใหม่ๆ ในการทำงานร่วมกับ Kubernetes และยังมีการเพิ่มความสามารถใหม่ๆ ทางด้าน Security เพิ่มเติมอีกด้วย

Juniper เซ็นต์สัญญาจ้าง IBM ดูแลระบบ Cloud ของตนเอง ดีลมูลค่ากว่า 10,000 ล้านบาท

IBM Services และ Juniper Networks ได้เซ็นต์สัญญามูลค่า 325 ล้านเหรียญหรือราวๆ 10,400 ล้านบาท เพื่อให้ IBM ช่วยดูแลระบบ Hybrid Cloud ของ Juniper Networks ในการเปลี่ยนธุรกิจของ Juniper Networks ไปสู่การเป็น Cloud-First อย่างเต็มตัว