Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ในเราเตอร์ Cisco RV320 และ RV325 ผู้ประสงค์ร้ายยึดเราเตอร์ได้โดยไม่ต้องล็อกอิน พบการโจมตีแล้ว ควรรีบอัปเดต

วันที่ประกาศ: 5 เมษายน 2562
ปรับปรุงล่าสุด: 5 เมษายน 2562
เรื่อง: ระวังภัย ช่องโหว่ในเราเตอร์ Cisco RV320 และ RV325 ผู้ประสงค์ร้ายยึดเราเตอร์ได้โดยไม่ต้องล็อกอิน พบการโจมตีแล้ว ควรรีบอัปเดต

ประเภทภัยคุกคาม: Intrusions

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 4 เมษายน 2562 บริษัท Cisco ได้เผยแพร่เฟิร์มแวร์เวอร์ชันใหม่เพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงบนอุปกรณ์เราเตอร์รุ่น RV320 และ RV325 ซึ่งเป็นเราเตอร์ที่นิยมใช้ในองค์กรและหน่วยงานขนาดใหญ่ โค้ดสำหรับใช้โจมตีช่องโหว่ถูกเผยแพร่สู่สาธารณะและมีรายงานการโจมตีแล้ว ผู้ดูแลระบบควรรีบอัปเดตเฟิร์มแวร์ของเราเตอร์ให้เป็นเวอร์ชันล่าสุดโดยเร็ว

ช่องโหว่ที่ถูกแก้ไขมีทั้งสิ้น 2 จุด ซึ่งหากใช้ทั้ง 2 ช่องโหว่ร่วมกันผู้ประสงค์ร้ายจะสามารถยึดและควบคุมเราเตอร์ได้ ช่องโหว่แรกมีรหัส CVE-2019-1652 ผู้ประสงค์ร้ายสามารถส่งคำสั่งเข้าประมวลผลที่เราเตอร์ได้ภายใต้สิทธิ์ของ root ซึ่งเป็นสิทธิ์สูงสุดของระบบ แต่ช่องโหว่นี้ผู้ประสงค์ร้ายจำเป็นต้องได้รหัสผ่านเพื่อนำมาล็อกอินก่อน ซึ่งการจะได้รหัสผ่านนั้นต้องโจมตีผ่านช่องโหว่ที่สองซึ่งมีรหัส CVE-2019-1653 โดยช่องโหว่นี้ผู้ประสงค์ร้ายสามารถดาวน์โหลดข้อมูลการตั้งค่าเราเตอร์และข้อมูลอื่นๆ รวมถึงค่าแฮชของรหัสผ่านได้จากระยะไกลโดยไม่จำเป็นต้องล็อกอิน [1]

จากข้อมูลที่ปรากฎในเว็บไซต์ Shodan มีเราเตอร์ที่อาจได้รับผลกระทบจากช่องโหว่นี้ไม่ต่ำกว่า 9,600 เครื่อง [2] โดยก่อนหน้านี้บริษัท Cisco ได้ออกเฟิร์มแวร์เวอร์ชัน 1.4.2.20 มาเพื่อแก้ไขปัญหานี้ไปแล้วในเดือนมกราคม 2562 แต่ครั้งนั้นยังแก้ไขปัญหาได้ไม่สมบูรณ์ จึงได้ออกเฟิร์มแวร์เวอร์ชัน 1.4.2.22 มาเพื่อแก้ไขปัญหานี้อีกครั้ง

ผลกระทบ

เราเตอร์ Cisco รุ่นที่ได้รับผลกระทบอาจถูกขโมยข้อมูลสำคัญและถูกสั่งให้ประมวลผลคำสั่งอันตรายจากระยะไกลจนส่งผลให้ถูกยึดเครื่องได้

ระบบที่ได้รับผลกระทบ

เราเตอร์ Cisco RV320 และ RV325 ที่ใช้เฟิร์มแวร์ตั้งแต่เวอร์ชั่น 1.4.2.15 ถึง 1.4.2.20

ข้อแนะนำในการป้องกันและแก้ไข

เนื่องจากมีรายงานการโจมตีผ่านช่องโหว่นี้แล้ว ผู้ดูแลระบบควรอัปเดทเฟิร์มแวร์ของเราเตอร์ให้เป็นเวอร์ชั่น 1.4.2.22 โดยเร็ว

หากยังไม่สามารถอัปเดตเฟิร์มแวร์ได้ อาจพิจารณาปิดฟีเจอร์ Remote Management ที่ใช้สำหรับเข้าบริหารจัดการอุปกรณ์จากระยะไกลเป็นการชั่วคราว โดยสามารถศึกษาการตั้งค่าได้จากเว็บไซต์ของ Cisco [3]

อ้างอิง

  1. https://securityaffairs.co/wordpress/83347/security/rv320-rv325-cisco-routers.html
  2. https://badpackets.net/over-9000-cisco-rv320-rv325-routers-vulnerable-to-cve-2019-1653/
  3. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
Clear