ASD ព្រមានអំពីការវាយប្រហារ BADCANDY ដែលកំពុងបន្ត ដោយកេងប្រវ័ញ្ចភាពងាយរងគ្រោះរបស់ Cisco IOS XE

នាយកដ្ឋានសញ្ញាអូស្ត្រាលី (ASD) បានចេញសេចក្តីជូនដំណឹងអំពីការវាយប្រហារតាមអ៊ីនធឺណិតដែលកំពុងបន្ត ដែលផ្តោតលើឧបករណ៍ Cisco IOS XE ដែលមិនទាន់បានជួសជុលនៅក្នុងប្រទេស ជាមួយនឹងការបង្កប់ដែលពីមុនមិនមានឯកសារ ដែលគេស្គាល់ថា BADCANDY។

សកម្មភាពនេះ យោងតាមទីភ្នាក់ងារស៊ើបការណ៍សម្ងាត់ ពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ច CVE-2023-20198 (ពិន្ទុ CVSS: 10.0) ដែលជាភាពងាយរងគ្រោះដ៏សំខាន់ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយ ដែលមិនមានការផ្ទៀងផ្ទាត់ បង្កើតគណនីដែលមានសិទ្ធិខ្ពស់ និងប្រើប្រាស់វាដើម្បីដណ្តើមយកការគ្រប់គ្រងប្រព័ន្ធដែលងាយរងគ្រោះ។

ភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនេះ បានកើតឡើងក្រោមការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងធម្មជាតិចាប់តាំងពីឆ្នាំ 2023 ឆ្នាំមុន ដោយអ្នកគំរាមកំហែងដែលមានទំនាក់ទំនងជាមួយប្រទេសចិន ដូចជា Salt Typhoon បានប្រើប្រាស់វាក្នុងប៉ុន្មានខែថ្មីៗនេះ ដើម្បីបំពានអ្នកផ្តល់សេវាទូរគមនាគមន៍។ ASD បានកត់សម្គាល់ថា បំរែបំរួលនៃ BADCANDY ត្រូវបានរកឃើញចាប់តាំងពីខែតុលា ឆ្នាំ២០២៣ ដោយមានការវាយប្រហារថ្មីៗជាបន្តបន្ទាប់នៅឆ្នាំ២០២៤ និង២០២៥។ គេប៉ាន់ប្រមាណថា ឧបករណ៍ចំនួន ៤០០ នៅក្នុងប្រទេសអូស្ត្រាលីត្រូវបានវាយប្រហារដោយមេរោគនេះចាប់តាំងពីខែកក្កដា ឆ្នាំ២០២៥ ដែលក្នុងនោះឧបករណ៍ចំនួន ១៥០ ត្រូវបានឆ្លងមេរោគក្នុងខែតុលាតែមួយ។

វាបាននិយាយថា "BADCANDY គឺជា web shell ដែលមានមូលដ្ឋានលើ Lua ដែលមានដើមទុនទាប ហើយអ្នកវាយប្រហារតាមអ៊ីនធឺណិតជាធម្មតាបានអនុវត្តបំណះក្រោយការសម្របសម្រួលដែលមិនស្ថិតស្ថេរដើម្បីបិទបាំងស្ថានភាពងាយរងគ្រោះរបស់ឧបករណ៍ទាក់ទងនឹង CVE-2023-20198"។ "ក្នុងករណីទាំងនេះ វត្តមាននៃការបង្កប់ BADCANDY បង្ហាញពីការឈ្លានពាននៃឧបករណ៍ Cisco IOS XE តាមរយៈ CVE-2023-20198"។

កង្វះយន្តការតស៊ូមានន័យថាវាមិនអាចរស់រានមានជីវិតបាននៅទូទាំងការចាប់ផ្តើមប្រព័ន្ធឡើងវិញទេ។ ទោះជាយ៉ាងណាក៏ដោយ ប្រសិនបើឧបករណ៍នៅតែមិនទាន់ត្រូវបានវាយប្រហារ និងប៉ះពាល់នឹងអ៊ីនធឺណិត វាអាចទៅរួចសម្រាប់អ្នកវាយប្រហារគំរាមកំហែងដើម្បីណែនាំមេរោគឡើងវិញ និងទទួលបានសិទ្ធិចូលប្រើវាឡើងវិញ។

ASD បានវាយតម្លៃថា អ្នកគំរាមកំហែងអាចរកឃើញនៅពេលដែលឧបករណ៍បង្កប់ត្រូវបានដកចេញ ហើយកំពុងឆ្លងមេរោគលើឧបករណ៍ម្តងទៀត។ នេះគឺផ្អែកលើការពិតដែលថា ការកេងប្រវ័ញ្ចឡើងវិញបានកើតឡើងនៅលើឧបករណ៍ដែលទីភ្នាក់ងារបានចេញការជូនដំណឹងពីមុនទៅកាន់អង្គភាពដែលរងផលប៉ះពាល់។

ទោះជាយ៉ាងណាក៏ដោយ ការចាប់ផ្តើមឡើងវិញនឹងមិនលុបចោលសកម្មភាពផ្សេងទៀតដែលធ្វើឡើងដោយអ្នកវាយប្រហារនោះទេ។ ដូច្នេះវាមានសារៈសំខាន់ណាស់ដែលប្រតិបត្តិករប្រព័ន្ធអនុវត្តបំណះ កំណត់ការបង្ហាញជាសាធារណៈនៃចំណុចប្រទាក់អ្នកប្រើប្រាស់គេហទំព័រ និងអនុវត្តតាមគោលការណ៍ណែនាំចាំបាច់ដែលចេញដោយ Cisco ដើម្បីការពារការប៉ុនប៉ងកេងប្រវ័ញ្ចនាពេលអនាគត។

សកម្មភាពមួយចំនួនទៀតដែលបានគូសបញ្ជាក់ដោយទីភ្នាក់ងារត្រូវបានរាយខាងក្រោម៖

--ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធដែលកំពុងដំណើរការសម្រាប់គណនីដែលមានសិទ្ធិ 15 ហើយលុបគណនីដែលមិននឹកស្មានដល់ ឬមិនត្រូវបានអនុម័ត

--ពិនិត្យមើលគណនីដែលមានខ្សែអក្សរចៃដន្យ ឬ "cisco_tac_admin," "cisco_support," "cisco_sys_manager," ឬ "cisco" ហើយលុបវាចេញប្រសិនបើមិនស្របច្បាប់

--ពិនិត្យមើលការកំណត់រចនាសម្ព័ន្ធដែលកំពុងដំណើរការសម្រាប់ចំណុចប្រទាក់ផ្លូវរូងក្រោមដីដែលមិនស្គាល់

--ពិនិត្យមើលការកត់ត្រាគណនេយ្យពាក្យបញ្ជា TACACS+ AAA សម្រាប់ការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធ ប្រសិនបើបើក