IBM Flashsystem

Cisco เตือนพบช่องโหว่ Zero-day บน Firepower และ ASA

ทีมงานของ Cisco ได้ค้นพบช่องโหว่หมายเลข CVE-2018-15454 ที่เกิดกับกลไก inspection ใน Session Initiation Protocol (SIP) ซึ่งนำไปสู่การโจมตีแบบ DoS ต่ออุปกรณ์ได้บนผลิตภัณฑ์ Firepower และ ASA โดยจนถึงขณะนี้ยังไม่มีแพตช์ออกมาแต่อย่างใด

Credit: ShutterStock.com

แฮ็กเกอร์สามารถทำการใช้ช่องโหว่ได้โดยสร้างแพ็กเกจ Request ของ SIP จำนวนมากไปยังอุปกรณ์ของเหยื่อเพื่อทำให้เกิด DoS เพราะเกิดการใช้งาน CPU หนักจนทำให้อุปกรณ์อาจค้างหรือต้องรีโหลดใหม่ โดย SIP Inspection เป็นค่าพื้นฐานที่ถูกเปิดไว้ในซอฟต์แวร์ของ ASA และ Firepower ซึ่ง Cisco เผยว่าซอฟต์แวร์ ASA เวอร์ชัน 9.4 หรือสูงกว่า และซอฟต์แวร์ Firepower เวอร์ชัน 6.0 หรือสูงกว่าต่างได้รับผลกระทบ สามารถดูผลิตภัณฑ์ที่ได้รับผลกระทบตามด้านล่าง

  • Industrial Security Appliance หรือ ISA ซีรีส์ 3000
  • Next-gen Firewall ASA เวอร์ชัน 5500-X
  • โมดูล ASA สำหรับ Switch Cisco Catalyst ซีรีส์ 6500 และ Router ซีรีส์ 7600
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower Appliance ซีรีส์ 2100 และ 4100
  • โมดูล Firepower 9300 ASA
  • FTD Virtual (FTDv)

อย่างไรก็ตามขณะที่ยังไม่มีแพตช์ออกมาจากทาง Cisco ซึ่งมีคำแนะนำให้บรรเทาปัญหาเบื้องต้น 3 ข้อคือ

  1. ปิด SIP Inspection
  2. สามารถใช้ฟีเจอร์ Traffic Filtering บน ASA และ FTD บล็อก IP ของผู้โจมตีได้หากรู้หมายเลขแน่ชัด
  3. คัดกรองทราฟฟิคที่มีข้อมูลในฟิลด์ ‘Sent-by Address’ ที่มีค่า 0.0.0.0 ออกไปเพราะ Cisco พบว่าหลายครั้งมีค่าดังกล่าวในการโจมตีที่เคยเกิดขึ้น

นอกจากนี้หากผู้ดูแลระบบสงสัยว่ากำลังถูกโจมตีอยู่ทาง Cisco แนะว่าสามารถใช้คำสั่ง ‘show conn port 5060’ ถ้าพบว่ามีการเชื่อม SIP ที่ไม่สมบูรณ์จำนวนมากก็อาจถูกโจมตีอยู่หรือใช้คำสั่ง ‘show process cpu-usage non-zero sorted’ เพื่อดูว่า CPU สูงเกินปกติหรือไม่ก็ได้เช่นกัน

ที่มา : https://www.securityweek.com/cisco-warns-zero-day-vulnerability-security-appliances และ https://www.zdnet.com/article/cisco-zero-day-exploited-in-the-wild-to-crash-and-reload-devices/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Amazon FSx for Windows File Server พร้อมให้บริการที่ AWS Thailand Region แล้ว

AWS ได้ประกาศความพร้อมใช้งาน Amazon FSx for Windows File Server ใน AWS Asia Pacific (Thailand) Region เป็นที่เรียบร้อยแล้ว 

แหล่งข่าวชี้ NVIDIA เตรียมปรับแต่งชิป H20 เพื่อส่งออกไปจีนในอีก 2 เดือนข้างหน้า

จากแหล่งข่าว Reuters หลังจากที่ NVIDIA ได้มีข้อจำกัดในการส่งออกชิป H20 ไปยังประเทศจีนเพิ่มเติม ล่าสุดบริษัทเตรียมปรับแต่งชิป H20 ด้วยการลดสเปคลง เพื่อให้สามารถส่งออกไปยังประเทศจีนได้ในอีก 2 เดือนข้างหน้านี้