ตรวจเจอ SYNful Knock บน Cisco IOS Device เพิ่ม! ในไทยมี 3 ราย รวม 79 กรณีทั่วโลก พร้อมวิธีตรวจสอบและการแก้ไข

การโจมตีด้วย Firmware ปลอมยังถูกตรวจพบเพิ่มเติมอย่างต่อเนื่อง ล่าสุดมีรายงานว่าตรวจพบอุปกรณ์ Cisco IOS Device ที่ถูกฝัง Malware ที่ระดับ ROMMON Firmware เพิ่มขึ้นเป็น 79 อุปกรณ์ใน 25 ประเทศแล้ว ในรายงานมีระบุถึงประเทศไทยด้วยว่าตรวจพบอุปกรณ์ที่ถูกโจมตี 3 อุปกรณ์ และประเทศสหรัฐอเมริกาเป็นอันดับหนึ่งที่ 25 อุปกรณ์

ทั้งนี้ทีมงาน TechTalkThai มีโอกาสได้พูดคุยกับทาง Cisco Thailand อย่างไม่เป็นทางการแล้ว พบว่าภายใน Cisco เองก็ไม่ได้นิ่งนอนใจกับกรณีที่เกิดขึ้นนี้และกำลังเร่งสืบสวนหาต้นตอ พร้อมทั้งเตรียมสื่อสารกับลูกค้าทั้งหมดทันทีที่ตรวจพบแล้ว พร้อมแนะแนวทางการแก้ไขเบื้องต้นคือการติดตั้ง ROM ใหม่จาก Cisco ทับลงไปทันที

cisco_1841_isr_router

การตรวจสอบและการแก้ไข

สำหรับองค์กรที่ต้องการตรวจสอบว่า IOS Device ที่ใช้งานอยู่นั้นมีการแฝง ROM ปลอมเหล่านี้หรือไม่ ก็สามารถใช้ Snort พร้อม Signature https://snort.org/advisories/talos-rules-2015-09-15 ช่วยจับได้เป็นการชั่วคราว รวมถึงทาง FireEye ก็ได้ออก Python Script และการใช้ nping/hping เพื่อตรวจสอบได้ดังนี้ https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html โดยถ้าหากตรวจพบอุปกรณ์ไหนมีปัญหาเหล่านี้ก็สามารถลง ROM ใหม่จาก Cisco ทับได้เลย ส่วนการป้องกันในระยะยาว ทาง Cisco ก็ได้แนะนำแนวทาง 4 ประการดังนี้

 

ที่มา: http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้