ช่องโหว่ด้านความปลอดภัย XNUMX จุดในเราเตอร์ Cisco สำหรับธุรกิจขนาดเล็กและขนาดกลาง (SMB) อาจทำให้ผู้โจมตีทางไซเบอร์ที่ไม่ผ่านการตรวจสอบสิทธิ์สามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์เพื่อเรียกใช้คำสั่งด้วยสิทธิ์ระดับรูท น่าเสียดายที่พวกเขาจะยังไม่ได้รับการแพตช์แม้ว่าการหาประโยชน์จากการพิสูจน์แนวคิดจะลอยอยู่ในธรรมชาติก็ตาม
เหนือสิ่งอื่นใด การประนีประนอมที่ประสบความสำเร็จอาจทำให้ผู้โจมตีทางไซเบอร์สามารถดักฟังหรือจี้ VPN และเซสชันทราฟฟิกที่ไหลผ่านอุปกรณ์ ได้รับฐานสำหรับการเคลื่อนไหวด้านข้างภายในเครือข่ายของบริษัท หรือเรียกใช้ cryptominers, ไคลเอนต์ botnet หรือมัลแวร์อื่นๆ.
“มันเป็นเป้าหมายที่น่าสนใจจากมุมมองทางเทคนิค ในฐานะผู้โจมตี หากคุณจัดการกับโค้ดจากระยะไกลบนเส้นทางหลักหรือโครงสร้างพื้นฐานเครือข่าย ความสามารถของคุณในการย้ายด้านข้างจะเพิ่มขึ้นแบบทวีคูณ” Casey Ellis ผู้ก่อตั้งและ CTO ของ Bugcrowd กล่าวในความคิดเห็นทางอีเมล
ข้อบกพร่องที่สำคัญอย่างยิ่งเสนอสิทธิ์รูต
จุดบกพร่องแรกคือปัญหาการเลี่ยงผ่านการรับรองความถูกต้องระดับวิกฤต (CVE-2023-20025) ที่มีอยู่ในอินเทอร์เฟซการจัดการเว็บของอุปกรณ์ และมีคะแนน 9 จาก 10 ในระดับความรุนแรงของช่องโหว่ CVSS
ในขณะเดียวกัน ข้อบกพร่องที่สอง — ติดตามเป็น CVE-2023-20026 — สามารถอนุญาตการเรียกใช้โค้ดจากระยะไกล (RCE) โดยมีคำเตือน: ผู้โจมตีจะต้องมีข้อมูลประจำตัวของผู้ดูแลระบบที่ถูกต้องบนอุปกรณ์ที่ได้รับผลกระทบจึงจะประสบความสำเร็จ ดังนั้นข้อบกพร่องจึงจัดอยู่ในระดับปานกลาง ด้วยคะแนน 6.5 CVSS
ทั้งคู่มีผลกับทุกเวอร์ชันของเราเตอร์ RV016, RV042, RV042G และ RV082 ซึ่งหมดอายุการใช้งาน (EoL) ด้วยเหตุนี้ อุปกรณ์จึงไม่ได้รับการอัปเดตความปลอดภัยอีกต่อไป ตามข้อมูลของยักษ์ใหญ่ด้านเครือข่าย คำแนะนำวันที่ 11 ม.ค.
คำแนะนำระบุว่าข้อบกพร่องทั้งสอง "เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้องของผู้ใช้ภายในแพ็กเก็ต HTTP ที่เข้ามา" ดังนั้นผู้โจมตีจึงต้องการเพียงส่งคำขอ HTTP ที่สร้างขึ้นไปยังอินเทอร์เฟซการจัดการบนเว็บเพื่อรับสิทธิ์เข้าถึงรูทบนระบบปฏิบัติการพื้นฐาน
Cisco “ทราบดีว่ามีรหัสการเจาะช่องโหว่ที่พิสูจน์แนวคิดได้สำหรับช่องโหว่ที่อธิบายไว้ในคำแนะนำนี้” ซิสโก้กล่าว แม้ว่าจนถึงขณะนี้ยังไม่พบการโจมตีแบบ in-the-wild
แม้ว่าจะไม่มีวิธีแก้ไขข้อบกพร่อง แต่วิธีแก้ไขที่เป็นไปได้คือการปิดใช้งานการจัดการระยะไกลของเราเตอร์และบล็อกการเข้าถึงพอร์ต 443 และ 60443 ตามข้อมูลของ Cisco หมายความว่าเราเตอร์สามารถเข้าถึงได้ผ่านอินเทอร์เฟซ LAN เท่านั้น
“มันมักจะเป็น ปฏิบัติที่ดีที่สุด ไม่อนุญาตให้ดูแลอุปกรณ์เครือข่ายระยะไกลที่เข้าถึงได้จากอินเทอร์เน็ตแบบเปิด อย่างไรก็ตาม ธุรกิจขนาดเล็กที่ใช้ MSP/MSSP บางตัวต้องปล่อยให้ผู้ให้บริการเปิดไว้” จอห์น แบมเบเน็ก หัวหน้าภัยคุกคาม Hunter ที่ Netenrich กล่าวผ่านอีเมล “ที่กล่าวว่านี่เป็นสิ่งที่เลวร้ายที่สุดในโลกที่มีรหัส PoC เปิดเผยต่อสาธารณะและไม่มี … แพตช์”
การเปลี่ยนอุปกรณ์เป็นการดำเนินการที่ดีที่สุดในการปกป้องธุรกิจอย่างเต็มที่ นักวิจัยระบุ
ผลกระทบครั้งใหญ่ แม้ใน EoL
นักวิจัยตั้งข้อสังเกตว่าฐานการติดตั้งที่มีอยู่ของเราเตอร์มีความสำคัญ แม้ว่าอุปกรณ์จะเลิกผลิตไปแล้วก็ตาม ไม่ใช่เรื่องแปลกที่อุปกรณ์ล้าสมัยจะยังคงอยู่ในสภาพแวดล้อมทางธุรกิจหลังจากถูกตัดขาด ซึ่งเป็นพื้นที่ว่างสำหรับผู้โจมตีทางไซเบอร์
“เราเตอร์สำหรับธุรกิจขนาดเล็กของ Cisco ที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ยังคงมีการใช้งานอย่างแพร่หลายพอสมควร แม้ว่าพวกมันจะสิ้นสุดอายุการใช้งานอย่างเป็นทางการแล้วก็ตาม” Mike Parkin วิศวกรด้านเทคนิคอาวุโสของ Vulcan Cyber กล่าวทางอีเมล “ความท้าทายคืออุปกรณ์เหล่านี้มักพบในธุรกิจขนาดเล็กที่มีทรัพยากรจำกัด หรือใช้งานโดยบุคคลที่อาจไม่มีงบประมาณมาเปลี่ยน”
และไม่ใช่แค่ SMB เท่านั้นที่ได้รับผลกระทบ Ellis จาก Bugcrowd กล่าวว่า “เราเตอร์ SMB มีการใช้งานอย่างแพร่หลาย และในโลกหลังโควิดแบบไฮบริด/การทำงานจากโฮมเวิร์ล มันไม่ได้เป็นเพียงปัญหาของ SMB เท่านั้น สำนักงานสาขา COE และแม้แต่โฮมออฟฟิศก็เป็นผู้ใช้ที่มีศักยภาพของผลิตภัณฑ์ที่มีช่องโหว่”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/remote-workforce/critical-cisco-smb-router-bug-authentication-bypass-poc-available
