แฮกเกอร์จีนพบช่องโหว่ Zero-Day บน Cisco Switch ปล่อยมัลแวร์ติดยกวงได้

Cisco Switch

ในช่วงที่ผ่านมาอุปกรณ์ด้านเครือข่ายมักจะมีข่าวเรื่องช่องโหว่ความปลอดภัยมากขึ้นเรื่อย ๆ ตั้งแต่ D-Link, Zyxel และถึงข่าวนี้ก็ถึงทีของ Cisco ซึ่งเป็นแบรนด์ที่เป็นที่นิยมสำหรับการใช้งานระดับองค์กร

โดยจากรายงานโดยเว็บไซต์ The Hacker News ได้มีการตรวจพบว่า แฮกเกอร์สัญชาติจีนภายใต้ชื่อกลุ่ม Velvet Ant ได้ใช้ช่องโหว่ CVE-2024-20399 ภายในระบบปฏิบัติการ Cisco NX-OS ที่ใช้อยู่บน Network Switch (อุปกรณ์สำหรับรับส่งข้อมูลระหว่างอุปกรณ์ภายในเครือข่าย

ซึ่งสามารถต่อสายเคเบิล และสาย LAN ได้จำนวนมาก สำหรับใช้งานภายในองค์กร) จากคำอธิบายโดยนักวิจัยด้านความปลอดภัยไซเบอร์จาก Sygnia ที่หน่วยงานที่ตรวจพบช่องโหว่ดังกล่าว ได้อธิบายว่าช่องโหว่ที่กล่าวมาข้างต้น นั้นจะเปิดโอกาสให้แฮกเกอร์สามารถยิงโค้ดด้วยสิทธิ์ระดับ Root บน OS ที่มีช่องโหว่นี้อยู่ ซึ่งโค้ดที่รันนั้นสามารถส่งผลกระทบต่ออุปกรณ์ต่าง ๆ ที่ต่ออยู่ได้

ซึ่งแฮกเกอร์จะใช้ช่องโหว่ดังกล่าวในการยิงโค้ดปล่อยมัลแวร์ (ซึ่งจากแหล่งข่าวนั้นไม่ได้มีการระบุชื่อ หรือประเภทของมัลแวร์ดังกล่าว) เพื่อเข้าครอบงำระบบที่ใช้อุปกรณ์สวิทซ์ เช่น Cisco Nexus และหลังเข้าครอบครองตัวอุปกรณ์ดังกล่าวได้แล้ว แฮกเกอร์อาจอัปโหลดไฟล์ อย่างเช่น มัลแวร์ตัวอื่น ๆ เพิ่มเติม เพื่อรันโค้ดกระจายมัลแวร์ให้กับอุปกรณ์อื่น ๆ ที่เชื่อมต่อกับฮาร์ดแวร์ตัวดังกล่าวต่อไป เรียกได้ว่าเป็นช่องโหว่ที่สามารถสร้างผลกระทบให้กับอุปกรณ์ที่ใช้อุปกรณ์ที่มีช่องโหว่ได้อย่างมาก

สำหรับอุปกรณ์ของ Cisco ที่ได้รับผลกระทบนั้นมีดังนี้

  • MDS 9000 Series Multilayer Switches
  • Nexus 3000 Series Switches
  • Nexus 5500 Platform Switches
  • Nexus 5600 Platform Switches
  • Nexus 6000 Series Switches
  • Nexus 7000 Series Switches
  • Nexus 9000 Series Switches ในโหมด standalone NX-OS

ทาง Cisco ซึ่งเป็นผู้พัฒนาและผลิตอุปกรณ์ข้างต้นได้รับทราบถึงปัญหาและได้ออกมาอธิบายเพิ่มเติมเกี่ยวกับช่องโหว่ดังกล่าวแล้วว่า ช่องโหว่นั้นเป็นผลมาจาก ในส่วนของ Validation Of Arguments เพื่ออนุญาตให้ปรับแต่ง Config ของ CLI commands นั้นมีข้อบกพร่องอยู่ ที่ทำให้แฮกเกอร์สามารถป้อน Input ที่สร้างขึ้นมาเองสำหรับการปรับแต่งส่วน CLI commands ได้

รวมไปถึงข้อบกพร่องที่เกิดขึ้นในส่วนของผู้ใช้งานที่มีสิทธิ์ในการเข้าถึงระดับผู้ดูแลระบบ (Administrator หรือ Admin) จะสามารถป้อนคำสั่งต่าง ๆ โดยที่ไม่ไปกระตุ้นให้เกิดการโชว์ข้อความ System Syslog Messages ทำให้ผู้ไม่ประสงค์ดีสามารถรัน Shell Commands ต่าง ๆ โดยที่ผู้ดูแลระบบรายอื่นไม่รู้ตัวได้

อย่างไรก็ตาม ทาง Cisco ก็ได้กล่าวว่า โอกาสที่จะใช้ช่องโหว่ดังกล่าวแฮกเข้าระบบสำเร็จนั้นทำได้ยากกว่าที่หลายคนคาดการณ์ เพราะว่าผู้ไม่ประสงค์ดีต้องมีรหัสในการเข้าถึงการใช้งานในระดับผู้ดูแลระบบ และคำสั่งเฉพาะในการทำ Config บนระบบที่จะทำการแฮกเสียก่อน เมื่อเป็นไปตามนี้ แฮกเกอร์ที่จะเข้าถึงอาจจะเป็นหนึ่งในผู้ดูแลระบบ หรืออดีตผู้ใช้งานที่มีความไม่ประสงค์ดีเสียมากกว่าจะเป็นบุคคลภายนอกที่จะสามารถใช้ช่องโหว่ดังกล่าวได้

ถึงแม้ทาง Cisco จะได้ออกมารับทราบปัญหา รวมถึงอธิบายเพื่อให้ผู้ใช้งานได้เบาใจลงแล้ว แต่ทางแหล่งข่าวก็ไม่ได้มีการระบุว่าทาง Cisco จะมีการออกอัปเดตใด ๆ มาทำการอุดช่องโหว่หรือไม่ ดังนั้น ทางทีมข่าวขอให้ผู้ดูแลระบบที่มีการใช้งานอุปกรณ์ตามที่ระบุไว้ข้างต้น ทำการติดต่อกับทาง Cisco เพื่อหาทางออกถ้ามีความกังวลใจเกี่ยวกับช่องโหว่ดังกล่าว

ที่มา : thehackernews.com