កម្មវិធីវាយប្រហារត្រូវបានបញ្ចេញ: ឧបករណ៍ណេតវើកគឺជាគោលដៅវាយប្រហារ

កាលពីថ្ងៃទី១៣ ខែសីហា ឆ្នាំ២០១៦ កន្លងទៅនេះ ក្រុមអ្នកវាយប្រហារមួយឈ្មោះថា “Shadow Brokers” បានបញ្ចេញនូវកម្មវិធីសម្រាប់ហេគ ⁣(hacking tools) ជាច្រើនដែលមានគោលដៅវាយប្រហារទៅលើឧបករណ៍បណ្តាញ (network devices)។ ឧបករណ៍ណេតវើកទាំងនោះរួមមាន ⁣Cisco, WatchGuard និង Fortinet ។ ឯកសារដែលត្រូវបានបញ្ចេញផងដែរនោះរួមមាននូវ exploits, discovery tools, implants និង documentation អំពីវីធីសាស្ត្រប្រើប្រាស់ tools ផងដែរ។ អ្នកប្រើប្រាស់ និងអង្គភាពដែលប្រើប្រាស់ឧបករណ៍ណេតវើកត្រូវតែធ្វើការជួសជុលកំហុសឆ្គងជាបន្ទាន់។

ឧបករណ៍ណេតវើកដែលរងផលប៉ៈពាល់ក្នុងពេលនេះ រួមមានដូចខាងក្រោម៖

– Cisco ASA 8.4(3) and earlier
– Cisco ASA 5500 Series Adaptive Security Appliances
– Cisco ASA 5500-X Series Next-Generation Firewalls
– Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
– Cisco ASA 1000V Cloud Firewall
– Cisco Adaptive Security Virtual Appliance (ASAv)
– Cisco Firepower 4100 Series
– Cisco Firepower 9300 ASA Security Module
– Cisco Firepower Threat Defense Software
– Cisco Industrial Security Appliance 3000
– Cisco PIX Firewalls*
– Cisco Firewall Services Module (FWSM)*
– FortiGate (FortiOS) 4.3.8 and below
– FortiGate (FortiOS) 4.2.12 and below
– FortiGate (FortiOS) 4.1.10 and below
– FortiSwitch 3.4.2 and below
– WatchGuard RapidStream devices

ផលប៉ៈពាល់

កម្មវិធីវាយប្រហារមួយចំនួនដែលយកបាននោះត្រូវបានគេផ្ទៀងផ្ទាត់ធ្វើតេស្តសាកល្បង គឺឃើញថាដំណើរការបានយ៉ាងរលូន ហើយអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការជ្រៀតចូលរំលងទៅលើការផ្ទៀងផ្ទាត់ សិទ្ធ ⁣(authentication), ទាញយកនូវសិទ្ធិជាអភិបាល និងលួចព័ត៌មានដូចជា VPN password ឬ cryptographic keys ដែលរក្សាទុកនៅក្នុង cached ឬរក្សាទុកនៅក្នុងឧបករណ៍នោះតែម្តង។ ផលប៉ៈពាល់ដោយសារបញ្ហានេះគឺមានលក្ខណៈធ្ងន់ធ្ងរ។

អនុសាសន៍

១. សូមធ្វើការផ្ទៀងផ្ទាត់ ⁣(verify) នូវឈ្មោះឧបករណ៍បណ្តាញដែលបានរៀបរាប់ខាងលើ
២. បើសិនជារកឃើញនូវតម្រុញនៃការវាយប្រហារ៖
ក. សូមធ្វើការ backup នូវ configuration files របស់ឧបករណ៍
ខ. សូមធ្វើការបញ្ចូលសារជាថ្មី (reinstall) នូវ firmware របស់ឧបករណ៍ ហើយធ្វើ configuration ឡើងវិញ
៣. នៅពេលដែលមានកម្មវិធីជួសជុល (patches) ឬ upgrades សូមធ្វើការអាប់ដេតវាជាបន្ទាន់
៤. ធ្វើការកំណត់ (restrict) នូវ SSH និង/ឬ Telnet logins ទៅកាន់ឧបករណ៍ណេតវើកនោះ ដោយកំណត់នូវចំនួន IPs ដែលអ្នកទុកចិត្ត
៥. បើសិនជាអ្នកអាចធ្វើទៅបាន សូមដាក់ឲ្យមានមុខងារ multi-factor authentication នៅលើឧបករណ៍នោះ
៦. សូមពិនិត្យទៅលើឯកសាររបស់អ្នកផ្គត់ផ្គង់ឧបករណ៍ និងសៀវភៅណែនាំ ក្នុងការពង្រឹងសុវត្ថិភាពឧបករណ៍ (configuration)
៧. សូមធ្វើផែនការក្នុងការផ្លាស់ប្តូរឧបករណ៍ចាស់ៗចោល

ឯកសារយោង៖
https://blogs.cisco.com/security/shadow-brokers
http://tools.cisco.com/security/center/viewErp.x?alertId=ERP-56516http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-clihttp://fortiguard.com/advisory/FG-IR-16-023
https://www.secplicity.org/2016/08/16/nsa-equation-group-exploit-leak-meanhttp://www.topsec.com.cn/aqtb/aqtb1/jjtg/160820.htm
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20160823-01-shadowbrokers-enhttps://forums.juniper.net/t5/Security-Incident-Response/Shadow-Brokers-Release-of-Hacking-Code/ba-p/296128
https://devcentral.f5.com/articles/leaked-shadowbrokers-tools-does-not-target-f5-networks-21700https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html
http://cert.europa.eu/static/SecurityAdvisories/CERT-EU-SA2016-133.pdfhttps://www.cert.gov.uk/resources/advisories/advisory-multiple-vulnerabilities-in-various-products-posted-online/
https://xorcat.net/2016/08/16/equationgroup-tool-leak-extrabacon-demo/
https://xorcat.net/2016/08/19/equation-group-crashing-asas-follow-up/

ប្រភព៖ secudmey.com