พบอุปกรณ์ Cisco IOS XE เกือบ 4 หมื่นตัวถูกเจาะผ่าน Zero-day ตัวล่าสุด

พบอุปกรณ์ Cisco IOS XE เกือบ 4 หมื่นตัวถูกเจาะผ่าน Zero-day ตัวล่าสุด ผู้ดูแลระบบควรตรวจสอบโดยด่วน

ช่องโหว่ Zero-day ตัวล่าสุด CVE-2023-20198 มีความรุนแรงสูงสุดตาม CVSS Score ระดับ 10/10 เกิดขึ้นในอุปกรณ์ Cisco ที่ใช้งาน IOS XE Software และเปิดใช้งานฟีเจอร์ HTTP Server ทำให้ผู้โจมตีสามารถเจาะและเข้าควบคุมอุปกรณ์ได้ ล่าสุด LeakIX ได้รายงานถึงตัวเลขอุปกรณ์ที่ถูกโจมตีด้วยช่องโหว่นี้ โดยทำการสแกนผ่าน Indicators of Compromise (IOCs) ผลออกมาพบว่ามีอุปกรณ์ที่ถูกโจมตีแล้ว 34,500 อุปกรณ์ (ยังไม่นับรวมอุปกรณ์ที่ถูก reboot ไปแล้ว) ซึ่งจากตัวเลขที่เผยออกมา มีอุปกรณ์ที่มาจากประเทศไทยกว่า 1 พันตัว สอดคล้องกับ Censys ที่รายงานตัวเลขเมื่อวันที่ 18 ตุลาคมที่ผ่านมา พบว่ามีอุปกรณ์ที่ถูกโจมตีด้วยช่องโหว่นี้แล้วกว่า 41,983 ตัว

จากการสำรวจของ Shodan พบว่ามีอุปกรณ์ Cisco IOS XE System มากกว่า 145,000 ตัวทั่วโลกที่เชื่อมต่อสู่อินเทอร์เน็ตและเปิดใช้งานฟีเจอร์ Web UI Management ส่วนใหญ่อยู่ในประเทศสหรัฐอเมริกา ซึ่งมีความเสี่ยงที่จะถูกโจมตีด้วยช่องโหว่นี้ และที่ผ่านมาพบว่าการโจมตีน่าจะมาจากกลุ่มแฮ็กเกอร์รายเดียว ใช้วิธีการสร้างบัญชีผู้ดูแลระบบแบบ “level 15 prvileges’ ซึ่งเข้าควบคุมเครื่องได้และทำการแฝงตัวอยู่ในระบบเพื่อเก็บข้อมูล มีการลบข้อมูล Log และลบบัญชีผู้ดูแลระบบออกไปเพื่อหลบเลี่ยงการตรวจจับ

ปัจจุบันช่องโหว่นี้ยังไม่มีแพตช์จาก Cisco และยังไม่มี Workaround ในการแก้ไข ผู้ดูแลระบบที่ใช้งาน Cisco IOS XE ที่เชื่อมต่อสู่อินเทอร์เน็ตจึงควรทำการปิดฟีเจอร์ Web UI Management ไปก่อนเป็นการชั่วคราว จนกว่าจะมีแพตช์ออกมา

ที่มา: https://www.bleepingcomputer.com/news/security/over-40-000-cisco-ios-xe-devices-infected-with-backdoor-using-zero-day/