แฮ็กเกอร์เริ่มโจมตีช่องโหว่ SNMP ของ Cisco ติดตั้ง Rootkit บน Switch

October 17, 2025 Cisco, Cybersecurity, Products, Threats Update

แฮ็กเกอร์เริ่มโจมตีผ่านช่องโหว่ระดับ Critical ใน Simple Network Management Protocol ของอุปกรณ์ Cisco เพื่อติดตั้ง Linux rootkit และเข้าถึงระบบแบบถาวร

กลุ่มผู้โจมตีได้โจมตีผ่านช่องโหว่ remote code execution CVE-2025-20352 ที่เพิ่งได้รับการแก้ไขในอุปกรณ์เครือข่าย Cisco รุ่นเก่าที่ไม่มีการป้องกันเพียงพอ เพื่อติดตั้ง Linux rootkit และสร้างการเข้าถึงระบบแบบถาวร ช่องโหว่ดังกล่าวส่งผลกระทบต่อ Simple Network Management Protocol (SNMP) ใน Cisco IOS และ IOS XE ซึ่งทำให้ผู้โจมตีที่มีสิทธิ์ root สามารถรันโค้ดจากระยะไกลได้

บริษัท Trend Micro รายงานว่าการโจมตีเหล่านี้มุ่งเป้าไปที่อุปกรณ์ Cisco 9400, 9300 และ 3750G series รุ่นเก่าที่ไม่มีการติดตั้ง endpoint detection response solutions ทีมวิจัยติดตามการโจมตีนี้ภายใต้ชื่อ “Operation Zero Disco” เนื่องจากมัลแวร์ตั้งรหัสผ่านเข้าถึงสากลที่มีคำว่า “disco” รวมอยู่ด้วย นอกจากนี้ผู้โจมตียังพยายามโจมตีผ่าน CVE-2017-3881 ซึ่งเป็นช่องโหว่อายุ 7 ปีใน Cluster Management Protocol code ใน IOS และ IOS XE อีกด้วย

Rootkit ที่ถูกติดตั้งบนระบบที่มีช่องโหว่มาพร้อมกับ UDP controller ที่สามารถทำงานได้หลายอย่าง ประกอบด้วยการฟังพอร์ตใดก็ได้, เปิด/ปิดหรือลบ logs, หลบเลี่ยง AAA และ VTY ACLs, เปิด/ปิด universal password, ซ่อนรายการ running configuration และรีเซ็ต timestamp ของการเขียนล่าสุด ในการจำลองการโจมตี นักวิจัยแสดงให้เห็นว่าสามารถปิดการใช้งาน logging, ปลอมตัวเป็น waystation IP ผ่าน ARP spoofing, หลบเลี่ยงกฎไฟร์วอลล์ภายใน และเคลื่อนย้ายระหว่าง VLANs ได้

แม้ว่า switch รุ่นใหม่จะมีความต้านทานต่อการโจมตีเหล่านี้มากขึ้นเนื่องจากการป้องกันด้วย Address Space Layout Randomization (ASLR) แต่ Trend Micro เตือนว่าอุปกรณ์เหล่านี้ก็ไม่ได้มีภูมิคุ้มกันอย่างสมบูรณ์ และการโจมตีแบบต่อเนื่องอาจทำให้ถูกบุกรุกได้ หลังจากติดตั้ง rootkit มัลแวร์จะติดตั้ง hooks หลายตัวลงบน IOSd ซึ่งส่งผลให้เกิด fileless components ที่จะหายไปหลังจากรีบูต ทีมวิจัยสามารถกู้คืน SNMP exploit ทั้งเวอร์ชัน 32-bit และ 64-bit ได้สำเร็จ

Trend Micro ระบุว่าปัจจุบันยังไม่มีเครื่องมือที่สามารถตรวจจับ Cisco switch ที่ถูกบุกรุกจากการโจมตีเหล่านี้ได้อย่างแม่นยำ หากสงสัยว่าถูกแฮ็ก คำแนะนำคือให้ทำการตรวจสอบ firmware และ ROM region ในระดับต่ำ ผู้ดูแลระบบควรรีบอัปเดต firmware ของอุปกรณ์ Cisco ที่ได้รับผลกระทบโดยเร็วที่สุด และพิจารณาติดตั้ง endpoint detection solutions สำหรับการป้องกันเพิ่มเติม

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-exploit-cisco-snmp-flaw-to-deploy-rootkit-on-switches/

Tags

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Elastic 9.4 ออกแล้ว

Elastic ได้ออกมาประกาศเปิดตัว Elastic 9.4 อย่างเป็นทางการ โดยเพิ่มความสามารถในการตรวจสอบการทำงานของ Context Engineering, Application และ Infrastructure เพิ่มเติม, เสริม AI ในการรักษาความมั่นคงปลอดภัย และเพิ่มความสามารถอื่นๆ อีกมากมาย ดังนี้

Extreme Networks เปิดตัว Wi-Fi 7 AP รุ่นใหม่ พร้อม Agentic AI สำหรับบริหารจัดการระบบเครือข่ายแบบอัตโนมัติ

Extreme Networks ได้ออกมาประกาศถึงอัปเดตครั้งใหญ่ โดยเปิดตัว Wi-Fi 7 Access Point รุ่นใหม่ล่าสุด 5 รุ่น พร้อมนวัตกรรมใหม่ในการบริหารจัดการระบบเครือข่ายด้วย AI Agent เพื่อดูแลรักษาระบบเครือข่ายขององค์กรให้ทำงานได้อย่างต่อเนื่องโดยอัตโนมัติ

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand