ตรวจเจอ SYNful Knock บน Cisco IOS Device เพิ่ม! ในไทยมี 3 ราย รวม 79 กรณีทั่วโลก พร้อมวิธีตรวจสอบและการแก้ไข

การโจมตีด้วย Firmware ปลอมยังถูกตรวจพบเพิ่มเติมอย่างต่อเนื่อง ล่าสุดมีรายงานว่าตรวจพบอุปกรณ์ Cisco IOS Device ที่ถูกฝัง Malware ที่ระดับ ROMMON Firmware เพิ่มขึ้นเป็น 79 อุปกรณ์ใน 25 ประเทศแล้ว ในรายงานมีระบุถึงประเทศไทยด้วยว่าตรวจพบอุปกรณ์ที่ถูกโจมตี 3 อุปกรณ์ และประเทศสหรัฐอเมริกาเป็นอันดับหนึ่งที่ 25 อุปกรณ์

ทั้งนี้ทีมงาน TechTalkThai มีโอกาสได้พูดคุยกับทาง Cisco Thailand อย่างไม่เป็นทางการแล้ว พบว่าภายใน Cisco เองก็ไม่ได้นิ่งนอนใจกับกรณีที่เกิดขึ้นนี้และกำลังเร่งสืบสวนหาต้นตอ พร้อมทั้งเตรียมสื่อสารกับลูกค้าทั้งหมดทันทีที่ตรวจพบแล้ว พร้อมแนะแนวทางการแก้ไขเบื้องต้นคือการติดตั้ง ROM ใหม่จาก Cisco ทับลงไปทันที

cisco_1841_isr_router

การตรวจสอบและการแก้ไข

สำหรับองค์กรที่ต้องการตรวจสอบว่า IOS Device ที่ใช้งานอยู่นั้นมีการแฝง ROM ปลอมเหล่านี้หรือไม่ ก็สามารถใช้ Snort พร้อม Signature https://snort.org/advisories/talos-rules-2015-09-15 ช่วยจับได้เป็นการชั่วคราว รวมถึงทาง FireEye ก็ได้ออก Python Script และการใช้ nping/hping เพื่อตรวจสอบได้ดังนี้ https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html โดยถ้าหากตรวจพบอุปกรณ์ไหนมีปัญหาเหล่านี้ก็สามารถลง ROM ใหม่จาก Cisco ทับได้เลย ส่วนการป้องกันในระยะยาว ทาง Cisco ก็ได้แนะนำแนวทาง 4 ประการดังนี้

 

ที่มา: http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ Unauthorized Access บน Cisco Aironet AP รุนแรงระดับ 9.8/10

Cisco ออก Security Advisory แจ้งเตือนถึงช่องโหว่ความรุนแรงระดับ Critical บนซอฟต์แวร์ของผลิตภัณฑ์ Cisco Aironet Access Point ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์พร้อมยกระดับสิทธิ์ในการเข้าถึงได้จากระยะไกลโดยไม่ได้รับอนุญาต ที่สำคัญคือไม่จำเป็นต้องพิสูจน์ตัวตนด้วย แนะนำให้ผู้ใช้ระบบ Wireless …

เปิดตัว Amazon Relational Databaser Service (RDS) on VMware ใช้ได้ทั้ง Microsoft SQL Server, PostgreSQL, MySQL

หลังจากที่ก่อนหน้านี้ AWS เคยออกมาเล่าถึงทิศทางในการพัฒนา Amazon RDS on VMware เพื่อให้สามารถใช้งานระบบฐานข้อมูลแบบเดียวกับบน Cloud ได้ใน On-Premises ตอนนี้ทาง AWS ได้ออกมาประกาศเปิดตัว Amazon RDS on VMware สำหรับใช้งานใน Production ได้แล้ว