ตรวจเจอ SYNful Knock บน Cisco IOS Device เพิ่ม! ในไทยมี 3 ราย รวม 79 กรณีทั่วโลก พร้อมวิธีตรวจสอบและการแก้ไข

การโจมตีด้วย Firmware ปลอมยังถูกตรวจพบเพิ่มเติมอย่างต่อเนื่อง ล่าสุดมีรายงานว่าตรวจพบอุปกรณ์ Cisco IOS Device ที่ถูกฝัง Malware ที่ระดับ ROMMON Firmware เพิ่มขึ้นเป็น 79 อุปกรณ์ใน 25 ประเทศแล้ว ในรายงานมีระบุถึงประเทศไทยด้วยว่าตรวจพบอุปกรณ์ที่ถูกโจมตี 3 อุปกรณ์ และประเทศสหรัฐอเมริกาเป็นอันดับหนึ่งที่ 25 อุปกรณ์

ทั้งนี้ทีมงาน TechTalkThai มีโอกาสได้พูดคุยกับทาง Cisco Thailand อย่างไม่เป็นทางการแล้ว พบว่าภายใน Cisco เองก็ไม่ได้นิ่งนอนใจกับกรณีที่เกิดขึ้นนี้และกำลังเร่งสืบสวนหาต้นตอ พร้อมทั้งเตรียมสื่อสารกับลูกค้าทั้งหมดทันทีที่ตรวจพบแล้ว พร้อมแนะแนวทางการแก้ไขเบื้องต้นคือการติดตั้ง ROM ใหม่จาก Cisco ทับลงไปทันที

การตรวจสอบและการแก้ไข

สำหรับองค์กรที่ต้องการตรวจสอบว่า IOS Device ที่ใช้งานอยู่นั้นมีการแฝง ROM ปลอมเหล่านี้หรือไม่ ก็สามารถใช้ Snort พร้อม Signature https://snort.org/advisories/talos-rules-2015-09-15 ช่วยจับได้เป็นการชั่วคราว รวมถึงทาง FireEye ก็ได้ออก Python Script และการใช้ nping/hping เพื่อตรวจสอบได้ดังนี้ https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html โดยถ้าหากตรวจพบอุปกรณ์ไหนมีปัญหาเหล่านี้ก็สามารถลง ROM ใหม่จาก Cisco ทับได้เลย ส่วนการป้องกันในระยะยาว ทาง Cisco ก็ได้แนะนำแนวทาง 4 ประการดังนี้

• Step 1: Harden devices – use Cisco’s guidance to harden Cisco IOS devices
• Step 2: Instrument the network – follow recommendations Telemetry-Based Infrastructure Device Integrity Monitoring
• Step 3: Establish a baseline – ensure operational procedures include methods to establish a baseline
• Step 4: Analyze deviations from the baseline by leveraging technical capabilities and recommendations for Cisco IOS Software Integrity Assurance.

 

ที่มา: http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/