Cisco ເຕືອນພົບຊ່ອງໂຫວ່ Zero-day ໃນ AsyncOS ຖືກແຮກເກີນຳໄປໃຊ້ໂຈມຕີຈິງແລ້ວ

Cisco ໄດ້ອອກປະກາດເຕືອນກ່ຽວກັບຊ່ອງໂຫວ່ Zero-day ລະດັບວິກິດ (Critical) ໃນລະບົບ AsyncOS ທີ່ຍັງບໍ່ມີແພັດແກ້ໄຂ ໂດຍພົບວ່າຊ່ອງໂຫວ່ນີ້ໄດ້ຖືກແຮກເກີນຳໄປໃຊ້ໂຈມຕີອຸປະກອນ Cisco Secure Email Gateway (SEG) ແລະ Secure Email and Web Manager (SEWM) ຈິງແລ້ວ

ຊ່ອງໂຫວ່ດັ່ງກ່າວມີລະຫັດ CVE-2025-20393 ແລະສົ່ງຜົນກະທົບສະເພາະອຸປະກອນ Cisco SEG ແລະ SEWM ທີ່ຖືກຕັ້ງຄ່າບໍ່ຕາມມາດຕະຖານ ໂດຍມີການເປີດໃຊ້ຟີຈເຈີ Spam Quarantine ແລະເປີດໃຫ້ເຂົ້າເຖິງໄດ້ຈາກອິນເຕີເນັດ ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີສາມາດຮັນຄຳສັ່ງດ້ວຍສິດ root ໃນອຸປະກອນໄດ້

ທີມ Cisco Talos ລະບຸວ່າ ກຸ່ມແຮກເກີຈາກຈີນທີ່ຖືກຕິດຕາມໃນຊື່ UAT-9686 ເປັນຜູ້ຢູ່ເບື້ອງຫຼັງການໂຈມຕີຄັ້ງນີ້ ໂດຍໃຊ້ຊ່ອງໂຫວ່ດັ່ງກ່າວເພື່ອຕິດຕັ້ງ backdoor ຊື່ AquaShell ພ້ອມດ້ວຍ malware ອື່ນໆ ເຊັ່ນ AquaTunnel, Chisel reverse SSH tunnel ແລະເຄື່ອງມືລຶບ log ຊື່ AquaPurge ເຊິ່ງເຄື່ອງມືເຫຼົ່ານີ້ມີຄວາມເຊື່ອມໂຍງກັບກຸ່ມ APT ຈາກຈີນອື່ນໆ ເຊັ່ນ UNC5174 ແລະ APT41 ໂດຍ Cisco ກວດພົບການໂຈມຕີໃນວັນທີ 10 ທັນວາ ແຕ່ແຄມເປນການໂຈມຕີໄດ້ເລີ່ມຕັ້ງແຕ່ຊ່ວງທ້າຍເດືອນພະຈິກ 2025

ເນື່ອງຈາກຍັງບໍ່ມີແພັດແກ້ໄຂ Cisco ແນະນຳໃຫ້ຜູ້ດູແລລະບົບຈຳກັດການເຂົ້າເຖິງອຸປະກອນຈາກອິນເຕີເນັດ ອະນຸຍາດການເຊື່ອມຕໍ່ສະເພາະ host ທີ່ເຊື່ອຖືໄດ້ ວາງອຸປະກອນໄວ້ຫຼັງ firewall ແຍກການເຮັດວຽກດ້ານ mail ແລະ management ອອກຈາກກັນ ກວດສອບ web log ຢ່າງໃກ້ຊິດ ແລະເກັບຮັກສາ log ໄວ້ເພື່ອການສືບສວນ ນອກຈາກນີ້ຄວນປິດ service ທີ່ບໍ່ຈຳເປັນ ອັບເດດ AsyncOS ເປັນເວີຊັນຫລ້າສຸດ ໃຊ້ການຢືນຢັນຕົວຕົນແບບ SAML ຫຼື LDAP ປ່ຽນ default password ແລະໃຊ້ SSL/TLS certificate ສຳລັບການເຂົ້າລະບົບ management

ຖ້າພົບວ່າອຸປະກອນຖືກ compromise ແລ້ວ ການ rebuild ອຸປະກອນໃໝ່ແມ່ນທາງເລືອກດຽວໃນຂະນະນີ້ທີ່ສາມາດກຳຈັດ persistence mechanism ຂອງຜູ້ໂຈມຕີໄດ້

ທີ່ມາ:
https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/

332 Views