นักวิจัย FireEye เผย ตรวจพบ 14 กรณีทั่วโลกที่ Cisco Router ถูกฝัง Firmware SYNful Knock

หลังจากที่ Cisco เคยออกมาเตือนเรื่องการฝัง Firmware บน Cisco IOS Router เพื่อใช้เป็นฐานการโจมตีไปแล้วนั้น วันนี้ FireEye ได้ออกมารายงานถึง 14 กรณีใน 14 ประเทศได้แก่ ยูเครน, ฟิลิปปินส์, เม็กซิโก และอินเดีย ที่มีการสับเปลี่ยน ROMMON บนอุปกรณ์ Cisco IOS เพื่อเปิด Backdoor บนอุปกรณ์เหล่านั้น และติดตั้งโมดูลเสริมเพื่อทำการโจมตีเพิ่มเติมจากการรับคำสั่งผ่าน HTTP ได้ โดยมี Router ที่ตรวจพบว่ามีปัญหานี้ด้วยกัน 3 รุ่นในเวลานี้

cisco_1841_isr_router

  • Cisco 1841 Router
  • Cisco 2811 Router
  • Cisco 3825 Router

ทั้งนี้ในการติดตั้งโมดูลเสริมเพื่อการโจมตีใดๆ นั้น SYNful Knock ต้องทำการ Reboot Router อย่างน้อย 1 ครั้งก่อนเสมอเพื่อให้โมดูลเหล่านั้นสามารถใช้งานได้ และโมดูลเหล่านั้นจะถูกฝั่งอยู่ใน Firmware แบบถาวร

หลังจากทำการสืบสวนร่วมกับ FireEye เพิ่มเติม Cisco พบว่าการติดตั้ง ROMMON ในลักษณะนี้ไม่สามารถทำได้ผ่านช่องโหว่ใดๆ ของ Cisco IOS แต่อย่างใด นอกจากผู้โจมตีจะรู้รหัสผ่านของผู้ดูแลระบบทั้งหมด หรือเข้าถึงตัวอุปกรณ์ได้เลยเพื่อเข้าไปอัพเกรด Firmeware โดยตรง

ทางด้าน Cisco ได้ออก Snort Rule SID:36054 มาเพื่อตรวจจับการโจมตีที่เกิดขึ้นจาก SYNful Malware https://snort.org/advisories/talos-rules-2015-09-15 รวมถึงแนะนำ Best Practice 4 ข้อสำหรับผู้ดูแลระบบ ดังนี้

สุดท้ายนี้ Cisco ก็ได้ทำการเตือนผู้ผลิตอุปกรณ์เครือข่ายรายอื่นๆ ให้ระวังการโจมตีในลักษณะนี้ด้วยเช่นกัน

สำหรับผู้ที่สนใจรายงานฉบับเต็ม สามารถอ่านได้ที่ https://www2.fireeye.com/WEB-RPT-SYNful-Knock-Cisco-Implant.html นะครับ

ที่มา: http://arstechnica.com/security/2015/09/attackers-install-highly-stealthy-backdoors-in-cisco-routers/ , http://blogs.cisco.com/security/synful-knock

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้