ตรวจเจอ SYNful Knock บน Cisco IOS Device เพิ่ม! ในไทยมี 3 ราย รวม 79 กรณีทั่วโลก พร้อมวิธีตรวจสอบและการแก้ไข

การโจมตีด้วย Firmware ปลอมยังถูกตรวจพบเพิ่มเติมอย่างต่อเนื่อง ล่าสุดมีรายงานว่าตรวจพบอุปกรณ์ Cisco IOS Device ที่ถูกฝัง Malware ที่ระดับ ROMMON Firmware เพิ่มขึ้นเป็น 79 อุปกรณ์ใน 25 ประเทศแล้ว ในรายงานมีระบุถึงประเทศไทยด้วยว่าตรวจพบอุปกรณ์ที่ถูกโจมตี 3 อุปกรณ์ และประเทศสหรัฐอเมริกาเป็นอันดับหนึ่งที่ 25 อุปกรณ์

ทั้งนี้ทีมงาน TechTalkThai มีโอกาสได้พูดคุยกับทาง Cisco Thailand อย่างไม่เป็นทางการแล้ว พบว่าภายใน Cisco เองก็ไม่ได้นิ่งนอนใจกับกรณีที่เกิดขึ้นนี้และกำลังเร่งสืบสวนหาต้นตอ พร้อมทั้งเตรียมสื่อสารกับลูกค้าทั้งหมดทันทีที่ตรวจพบแล้ว พร้อมแนะแนวทางการแก้ไขเบื้องต้นคือการติดตั้ง ROM ใหม่จาก Cisco ทับลงไปทันที

cisco_1841_isr_router

การตรวจสอบและการแก้ไข

สำหรับองค์กรที่ต้องการตรวจสอบว่า IOS Device ที่ใช้งานอยู่นั้นมีการแฝง ROM ปลอมเหล่านี้หรือไม่ ก็สามารถใช้ Snort พร้อม Signature https://snort.org/advisories/talos-rules-2015-09-15 ช่วยจับได้เป็นการชั่วคราว รวมถึงทาง FireEye ก็ได้ออก Python Script และการใช้ nping/hping เพื่อตรวจสอบได้ดังนี้ https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis0.html โดยถ้าหากตรวจพบอุปกรณ์ไหนมีปัญหาเหล่านี้ก็สามารถลง ROM ใหม่จาก Cisco ทับได้เลย ส่วนการป้องกันในระยะยาว ทาง Cisco ก็ได้แนะนำแนวทาง 4 ประการดังนี้

 

ที่มา: http://arstechnica.com/security/2015/09/malicious-cisco-router-backdoor-found-on-79-more-devices-25-in-the-us/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cyber Elite เปิดศูนย์ CSOC บริการเฝ้าระวังและรับมือภัยคุกคามไซเบอร์แบบครบวงจร

ในปัจจุบัน หลายองค์กรทั่วโลกต่างพลิกโฉมธุรกิจของตนสู่การเป็นธุรกิจดิจิทัลมากขึ้น สินค้าและบริการต่างถูกนำเสนอในรูปแบบออนไลน์ ผ่านอินเทอร์เน็ต และแอปพลิเคชันบนสมาร์ตโฟนเป็นจำนวนมาก เหล่านี้ก่อให้เกิดช่องทางที่อาชญากรไซเบอร์จะใช้โจมตีระบบขององค์กรได้มากขึ้น การรับมือกับภัยคุกคามไซเบอร์ในสมัยก่อนที่รอให้เกิดเหตุก่อนแล้วค่อยจัดการเป็นกรณีๆ ไป ไม่สามารถใช้ได้กับภัยคุกคามปัจจุบันที่มีความซับซ้อนและรุนแรง ซึ่งอาจทำให้ธุรกิจหยุดชะงักได้ทันทีหรือเสี่ยงถูกลูกค้าฟ้องร้องได้อีกต่อไป

[ รีวิว ] – Motorola EDGE 30 Pro 5G

สมาร์ทโฟนรุ่นเรือธง จอแสดงผลพันล้านเฉดสี ขับเคลื่อนด้วยชิปตัวแรง กล้อง Selfie 60 MP ระบบเสียงอันทรงพลัง เล่นเกมไหลลื่นไม่มีสะดุด