ตรวจเจอ SYNful Knock บน Cisco IOS Device เพิ่ม! ในไทยมี 3 ราย รวม 79 กรณีทั่วโลก พร้อมวิธีตรวจสอบและการแก้ไข

การโจมตีด้วย Firmware ปลอมยังถูกตรวจพบเพิ่มเติมอย่างต่อเนื่อง ล่าสุดมีรายงานว่าตรวจพบอุปกรณ์ Cisco IOS Device ที่ถูกฝัง Malware ที่ระดับ ROMMON Firmware เพิ่มขึ้นเป็น 79 อุปกรณ์ใน 25 ประเทศแล้ว ในรายงานมีระบุถึงประเทศไทยด้วยว่าตรวจพบอุปกรณ์ที่ถูกโจมตี 3 อุปกรณ์ และประเทศสหรัฐอเมริกาเป็นอันดับหนึ่งที่ 25 อุปกรณ์

ทั้งนี้ทีมงาน TechTalkThai มีโอกาสได้พูดคุยกับทาง Cisco Thailand อย่างไม่เป็นทางการแล้ว พบว่าภายใน Cisco เองก็ไม่ได้นิ่งนอนใจกับกรณีที่เกิดขึ้นนี้และกำลังเร่งสืบสวนหาต้นตอ พร้อมทั้งเตรียมสื่อสารกับลูกค้าทั้งหมดทันทีที่ตรวจพบแล้ว พร้อมแนะแนวทางการแก้ไขเบื้องต้นคือการติดตั้ง ROM ใหม่จาก Cisco ทับลงไปทันที

cisco_1841_isr_router

การตรวจสอบและการแก้ไข

สำหรับองค์กรที่ต้องการตรวจสอบว่า IOS Device ที่ใช้งานอยู่นั้นมีการแฝง ROM ปลอมเหล่านี้หรือไม่ ก็สามารถใช้ Snort พร้อม Signature https://snort.org/advisories/talos-rules-2015-09-15 ช่วยจับได้เป็นการชั่วคราว รวมถึงทาง FireEye ก็ได้ออก Python Script และการใช้ nping/hping เพื่อตรวจสอบได้ดังนี้ https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html โดยถ้าหากตรวจพบอุปกรณ์ไหนมีปัญหาเหล่านี้ก็สามารถลง ROM ใหม่จาก Cisco ทับได้เลย ส่วนการป้องกันในระยะยาว ทาง Cisco ก็ได้แนะนำแนวทาง 4 ประการดังนี้

 

ที่มา: http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ยกระดับขีดความสามารถของธุรกิจการผลิตไทย ด้วย 5G และแนวคิด Smart Manufacturing

อุตสาหกรรมการผลิตเป็นหนึ่งในอุตสาหกรรมที่จะได้รับประโยชน์เป็นอย่างมากจากการปฏิรูปดิจิทัลและการเข้ามาของเทคโนโลยี 5G ในเซสชัน “Adaptability to Digital Manufacturing Transformation” ในงาน AIS – 5G for BUSINESS is …

CODIUM จับมือ SVOA เปิดให้บริการ e-Memo, e-Tax Invoice และ PDPA ความมั่นคงปลอดภัยสูง ด้วยเทคโนโลยีจาก Entrust

ธุรกิจทั่วโลกต่างเดินหน้าเร่งทำ Digital Transformation เพื่อสนับสนุนกระบวนการเชิงธุรกิจให้ดำเนินต่อไปได้ภายใต้สถานการณ์แพร่ระบาดของ COVID-19 รวมไปถึงรักษาความสามารถในการแข่งขัน CODIUM, SVOA และ Entrust จึงได้จับมือร่วมกันพัฒนาโซลูชันดิจิทัลความมั่นคงปลอดภัยสูง ที่จะช่วยพลิกโฉมธุรกิจสู่การเป็นองค์กรดิจิทัลได้อย่างยั่งยืน