ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม
[TLP:WHITE] แจ้งเตือนช่องโหว่หลายรายการของอุปกรณ์เครือข่าย Cisco Small Business RV Series Routers โดยช่องโหว่ที่มีระดับความรุนแรงสูงสุดอาจส่งผลให้ถูกโจมตีแบบ arbitrary code execution
3 ก.พ.65
ศูนย์ TTC-CERT พบการรายงานช่องโหว่หลายรายการของอุปกรณ์เครือข่าย Cisco Small Business RV Series Routers รุ่น RV160, RV260, RV340, และ RV345 ซึ่งช่องโหว่ดังกล่าวอาจส่งผลให้ผู้ไม่หวังดีสามารถโจมตีอุปกรณ์ที่ได้รับผลกระทบ ได้หลายแบบ ดังนี้
- สั่งให้อุปกรณ์ที่ได้รับผลกระทบ execute โค้ดหรือคำสั่งต่าง ๆ ได้โดยไม่ได้รับอนุญาต (arbitrary code execution)
- การยกระดับสิทธิ์ (elevate privileges)
- Bypass การพิสูจน์ตัวตน (authentication) และการตรวจสอบสิทธิ์ (authorization)
- เรียกใช้ unsigned software
- การปฏิเสธการให้บริการ denial of service (DoS)
ทั้งนี้บริษัท Cisco ได้ออก security patch มาเพื่อแก้ไขช่องโหว่หลายรายการของอุปกรณ์เครือข่าย Cisco Small Business RV Series Routers ดังนี้
- CVE-2022-20699 - Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers SSL VPN Remote Code Execution Vulnerability
- CVE-2022-20700, CVE-2022-20701, CVE-2022-20702: Cisco Small Business RV Series Routers Privilege Escalation Vulnerabilities
- CVE-2022-20703 - Cisco Small Business RV Series Routers Digital Signature Verification Bypass Vulnerability
- CVE-2022-20704 - Cisco Small Business RV Series Routers SSL Certificate Validation Vulnerability
- CVE-2022-20705 - Cisco Small Business RV Series Routers Improper Session Management Vulnerability
- CVE-2022-20706 - Cisco RV Series Routers Open Plug and Play Command Injection Vulnerability
- CVE-2022-20707, CVE-2022-20708, CVE-2022-20749 - Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Command Injection Vulnerabilities
- CVE-2022-20709 - Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Upload Vulnerability
- CVE-2022-20710 - Cisco Small Business RV Series Routers GUI Denial of Service Vulnerability
- CVE-2022-20711 - Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers Arbitrary File Overwrite Vulnerability
- CVE-2022-20712 - Cisco Small Business RV Series Routers Upload Module Remote Code Execution Vulnerability
- รายละเอียดของช่องโหว่แต่ละรายการสามารถดูรายละเอียดเพิ่มเติมได้ที่ https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
โดยช่องโหว่ที่มีระดับความรุนแรงสูงสุดคือ ช่องโหว่ CVE-2022-20699 ได้รับคะแนน CVSS v3.0 Base Score เป็น 10 (Critical) ซึ่งเป็นช่องโหว่ของอุปกรณ์ Cisco Small Business RV Series Routers รุ่น RV340, RV340W, RV345, และ RV345P ทั้งนี้ ช่องโหว่นี้เกิดจากการตรวจสอบขอบเขตที่ไม่เหมาะสม (insufficient boundary checks) เมื่อมีการประมวล HTTP request ของอุปกรณ์ที่ได้รับผลกระทบ โดยผู้ไม่หวังดีจากระยะไกลที่ยังไม่มีการตรวจสอบสิทธิ์ (unauthenticated remote attacker) สามารถโจมตีช่องโหว่นี้ได้โดยการส่ง HTTP request ที่เป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบซึ่งทำหน้าที่เป็น SSL VPN Gateway หากผู้ไม่หวังดีสามารถโจมตีช่องโหว่นี้ได้สำเร็จ อาจส่งผลให้ผู้ไม่หวังดีดังกล่าวสามารถสั่งให้อุปกรณ์ที่ได้รับผลกระทบ execute โค้ดหรือคำสั่งต่าง ๆ ได้โดยไม่ได้รับอนุญาต (arbitrary code execution) จากระยะไกลด้วยสิทธิ์ระดับสูงสุด (root privileges)
ศูนย์ TTC-CERT แนะนำให้องค์กรของสมาชิกหรือลูกค้าของสมาชิกที่ใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ ตรวจสอบรายละเอียดการอัปเดตด้านความปลอดภัยสำหรับอุปกรณ์เครือข่าย Cisco Small Business RV Series Routers รุ่นที่ได้รับผลกระทบ ตลอดจนดำเนินการอัปเดตให้เป็นเวอร์ชั่นที่ได้รับการแก้ไขช่องโหว่ของแต่ละรุ่น โดยมีรายละเอียดเพิ่มเติมที่หัวข้อ“วิธีแก้ปัญหา”
ช่องโหว่นี้เป็นช่องโหว่ที่ก่อให้เกิดความเสี่ยงที่ยอมรับไม่ได้ (unacceptable risk) ต่อองค์กรที่ใช้งานอุปกรณ์เครือข่าย Cisco Small Business RV Series Routers รุ่นที่ได้รับผลกระทบและต้องมีการดำเนินการต่าง ๆ เพื่อลดความเสี่ยงอย่างเร่งด่วน ทั้งนี้ ในห้วงเวลาที่รายงานฉบับนี้ออก (3 ก.พ.65 เวลา 17.30น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่เหล่านี้ และยังไม่พบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
รายละเอียดของช่องโหว่โดยสรุป
- ผลิตภัณฑ์ที่ได้รับผลกระทบ: Cisco RV Series Routers
- หน่วยงานที่ออกคำแนะนำด้านความปลอดภัย: Cisco Systems
- Operating System : Cisco Systems
- ผลกระทบ (Impact)/รูปแบบการโจมตี:
- Execute arbitrary code
- Elevate privileges
- Execute arbitrary commands
- Bypass authentication and authorization protections
- Fetch and run unsigned software
- Cause denial of service (DoS)
- การแก้ไขปัญหา: Patch/Upgrade
- CVE Names: CVE-2022-20749 CVE-2022-20712 CVE-2022-20711
CVE-2022-20710 CVE-2022-20709 CVE-2022-20708
CVE-2022-20707 CVE-2022-20706 CVE-2022-20705
CVE-2022-20704 CVE-2022-20703 CVE-2022-20702
CVE-2022-20701 CVE-2022-20700 CVE-2022-20699
ข้อมูลที่พบจาก threat intelligence
ในห้วงเวลาที่รายงานฉบับนี้ออก (3 ก.พ.65 เวลา 17.30น.) ยังไม่พบ proof-of-concept code (PoC) สำหรับการโจมตีช่องโหว่เหล่านี้ และยังไม่พบรายงานเกี่ยวกับการโจมตีช่องโหว่เหล่านี้ในอินเทอร์เน็ต
ผลิตภัณฑ์ที่ได้รับผลกระทบ
- ช่องโหว่ CVE-2022-20700, CVE-2022-20701, CVE-2022-20702, CVE-2022-20703, CVE-2022-20704, CVE-2022-20705, CVE-2022-20706, CVE-2022-20710, และ CVE-2022-20712 ส่งผลกระทบต่อผลิตภัณฑ์ Cisco ดังต่อไปนี้
- RV160 VPN Routers
- RV160W Wireless-AC VPN Routers
- RV260 VPN Routers
- RV260P VPN Routers with PoE
- RV260W Wireless-AC VPN Routers
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
- ช่องโหว่ CVE-2022-20699, CVE-2022-20707, CVE-2022-20708, CVE-2022-20709, CVE-2022-20711, และ CVE-2022-20749 ส่งผลกระทบต่อผลิตภัณฑ์ Cisco ดังต่อไปนี้
- RV340 Dual WAN Gigabit VPN Routers
- RV340W Dual WAN Gigabit Wireless-AC VPN Routers
- RV345 Dual WAN Gigabit VPN Routers
- RV345P Dual WAN Gigabit POE VPN Routers
วิธีแก้ปัญหา
ศูนย์ TTC-CERT แนะนำให้หน่วยงานของสมาชิกหรือลูกค้าของสมาชิกที่ใช้ผลิตภัณฑ์ที่ได้รับผลกระทบ ดำเนินการอัปเกรดเป็นซอฟต์แวร์เวอร์ชั่นที่ได้รับการแก้ไขช่องโหว่นี้ของแต่ละอุปกรณ์ที่ได้รับผลกระทบ โดยสามารถดาวน์โหลดซอฟต์แวร์ดังกล่าวได้ที่ Cisco Support and Downloads page https://www.cisco.com/c/en/us/support/index.html
ทั้งนี้ การแก้ไขเปลี่ยนแปลงใด ๆ กับระบบ ซอฟต์แวร์ หรือ Configuration ต่าง ๆ เพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว สมาชิกควรปฎิบัติตาม Change Management Policy และ/หรือ Risk Management Policy และ/หรือ Business Impact Assessment ของหน่วยงานอย่างเคร่งครัด
ข้อมูลอ้างอิง
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D
/