128/68 (IT) ประจำวันพุธที่ 2 เมษายน 2568
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่หมายเลข CVE-2024-20439 ในระบบ Cisco Smart Licensing Utility ลงใน Known Exploited Vulnerabilities (KEV) Catalog จำนวน 2 รายการ ได้แก่
– CVE-2024-20439 (CVSS 9.8): เป็นช่องโหว่ static credential backdoor ซึ่งเกิดจากการฝังรหัสผ่านแอดมินคงที่ไว้ในระบบแบบไม่เปิดเผย ทำให้ผู้โจมตีสามารถเข้าถึง API ของ Cisco ด้วยสิทธิ์แอดมินได้
– CVE-2024-20440 (CVSS 9.8): เป็นช่องโหว่ information disclosure ที่เกิดจาก log ที่แสดงข้อมูลมากเกินไป (excessive verbosity) โดยแฮกเกอร์สามารถใช้ HTTP request ที่ดัดแปลงเพื่อดึง log ที่มีข้อมูลสำคัญ เช่น credentials สำหรับเข้าถึง API
แม้จะยังไม่มีการยืนยันการโจมตีแบบ active exploitation ในช่วงแรก แต่เมื่อมีการเผยแพร่รายละเอียดช่องโหว่ของนักวิจัย Nicholas Starke ก็เริ่มพบกิจกรรมที่เกี่ยวข้องกับการโจมตีตามมา โดยทาง SANS Internet Storm Center เตือนว่ามีการพยายามใช้ช่องโหว่เหล่านี้โจมตีไฟล์ config และอาจเกี่ยวข้องกับช่องโหว่อื่น เช่น CVE-2024-0305 ด้วยในปัจจุบัน Cisco ได้ออก software update เพื่อแก้ไขทั้งสองช่องโหว่แล้ว โดยยังไม่มีวิธีแก้ไขชั่วคราว (workaround) ผู้เชี่ยวชาญแนะนำให้องค์กรภาคเอกชนตรวจสอบระบบของตนเทียบกับ KEV Catalog และแก้ไขช่องโหว่โดยเร็ว
เพื่อป้องกันภัยคุกคาม หน่วยงานใน Federal Civilian Executive Branch (FCEB) ต้องดำเนินการอัปเดตและแก้ไขช่องโหว่ภายในวันที่ 21 เมษายน 2025 ตามแนวทางของ Binding Operational Directive (BOD) 22-01 ซึ่งเป็นมาตรการเพื่อลดความเสี่ยงจากช่องโหว่ที่ถูกใช้โจมตี นอกจากนี้ CISA ยังแนะนำให้องค์กรเอกชนตรวจสอบรายการ KEV Catalog และดำเนินมาตรการป้องกันที่เหมาะสม เพื่อป้องกันการถูกโจมตีจากช่องโหว่เหล่านี้ด้วย
