- ដោយ Admin
- Dec 20, 2025
កំពុងផ្ទុក...
កំពុងផ្ទុក...
Cisco បានជូនដំណឹងដល់អ្នកប្រើប្រាស់អំពីកំហុសឆ្គងកម្រិតធ្ងន់ធ្ងរបំផុតនៃថ្ងៃសូន្យនៅក្នុងកម្មវិធី Cisco AsyncOS ដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មដោយអ្នកគំរាមកំហែងដែលមានកម្រិតខ្ពស់ (APT) ដែលមានឈ្មោះកូដ UAT-9686 របស់ប្រទេសចិន ក្នុងការវាយប្រហារដែលកំណត់គោលដៅ Cisco Secure Email Gateway និង Cisco Secure Email and Web Manager។
ក្រុមហ៊ុនផ្គត់ផ្គង់ឧបករណ៍បណ្តាញដ៏ធំនេះបាននិយាយថា ខ្លួនបានដឹងអំពីយុទ្ធនាការឈ្លានពាននៅថ្ងៃទី 10 ខែធ្នូ ឆ្នាំ 2025 ហើយថាខ្លួនបានកំណត់អត្តសញ្ញាណ "ឧបករណ៍មួយចំនួនតូច" ដែលមានច្រកជាក់លាក់បើកទៅកាន់អ៊ីនធឺណិត។ បច្ចុប្បន្ននេះមិនទាន់ដឹងថាមានអតិថិជនប៉ុន្មាននាក់ដែលរងផលប៉ះពាល់នោះទេ។
Cisco បាននិយាយនៅក្នុងការណែនាំមួយថា "ការវាយប្រហារនេះអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងប្រតិបត្តិពាក្យបញ្ជាដោយបំពានជាមួយនឹងសិទ្ធិជា root នៅលើប្រព័ន្ធប្រតិបត្តិការមូលដ្ឋាននៃឧបករណ៍ដែលរងផលប៉ះពាល់"។ "ការស៊ើបអង្កេតដែលកំពុងបន្តបានបង្ហាញភស្តុតាងនៃយន្តការតស៊ូដែលបង្កើតឡើងដោយអ្នកគំរាមកំហែងដើម្បីរក្សាកម្រិតនៃការគ្រប់គ្រងលើឧបករណ៍ដែលរងការសម្របសម្រួល"។
ភាពងាយរងគ្រោះដែលមិនទាន់ត្រូវបានជួសជុលកំពុងត្រូវបានតាមដានជា CVE-2025-20393 និងមានពិន្ទុ CVSS 10.0។ វាទាក់ទងនឹងករណីនៃការផ្ទៀងផ្ទាត់ការបញ្ចូលមិនត្រឹមត្រូវ ដែលអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងប្រតិបត្តិការណែនាំព្យាបាទជាមួយនឹងសិទ្ធិខ្ពស់នៅលើប្រព័ន្ធប្រតិបត្តិការមូលដ្ឋាន។
ការចេញផ្សាយទាំងអស់នៃកម្មវិធី Cisco AsyncOS ត្រូវបានរងផលប៉ះពាល់។ ទោះយ៉ាងណាក៏ដោយ ដើម្បីឱ្យការកេងប្រវ័ញ្ចដោយជោគជ័យកើតឡើង លក្ខខណ្ឌដូចខាងក្រោមត្រូវតែបំពេញសម្រាប់ទាំងកំណែរូបវន្ត និងនិម្មិតនៃឧបករណ៍ Cisco Secure Email Gateway និង Cisco Secure Email and Web Manager -
-ឧបករណ៍នេះត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងមុខងារ Spam Quarantine
-មុខងារ Spam Quarantine ត្រូវបានប៉ះពាល់ និងអាចចូលប្រើបានពីអ៊ីនធឺណិត
វាគួរឱ្យកត់សម្គាល់ថាមុខងារ Spam Quarantine មិនត្រូវបានបើកតាមលំនាំដើមទេ។ ដើម្បីពិនិត្យមើលថាតើវាត្រូវបានបើកឬអត់ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យអនុវត្តតាមជំហានខាងក្រោម -
ភ្ជាប់ទៅចំណុចប្រទាក់គ្រប់គ្រងគេហទំព័រ
រុករកទៅកាន់បណ្តាញ > ចំណុចប្រទាក់ IP > [ជ្រើសរើសចំណុចប្រទាក់ដែល Spam Quarantine ត្រូវបានកំណត់រចនាសម្ព័ន្ធ] (សម្រាប់ Secure Email Gateway) ឬ Management Appliance > បណ្តាញ > ចំណុចប្រទាក់ IP > [ជ្រើសរើសចំណុចប្រទាក់ដែល Spam Quarantine ត្រូវបានកំណត់រចនាសម្ព័ន្ធ] (សម្រាប់ Secure Email and Web Manager)
ប្រសិនបើជម្រើស Spam Quarantine ត្រូវបានធីក លក្ខណៈពិសេសនឹងត្រូវបានបើក
សកម្មភាពកេងប្រវ័ញ្ចដែលសង្កេតឃើញដោយ Cisco មានតាំងពីយ៉ាងហោចណាស់ចុងខែវិច្ឆិកា ឆ្នាំ 2025 ដោយ UAT-9686 បានប្រើប្រាស់ភាពងាយរងគ្រោះនេះដើម្បីប្រើឧបករណ៍ drop tunneling ដូចជា ReverseSSH (ហៅកាត់ថា AquaTunnel) និង Chisel ក៏ដូចជាឧបករណ៍សម្អាត log ដែលមានឈ្មោះថា AquaPurge។ ការប្រើប្រាស់ AquaTunnel ពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយក្រុម hacking របស់ចិនដូចជា APT41 និង UNC5174។
ក៏ត្រូវបានដាក់ពង្រាយនៅក្នុងការវាយប្រហារផងដែរគឺជា backdoor Python ទម្ងន់ស្រាលដែលមានឈ្មោះថា AquaShell ដែលមានសមត្ថភាពទទួលពាក្យបញ្ជាដែលបានអ៊ិនកូដ និងប្រតិបត្តិវា។
Cisco បាននិយាយថា "វាស្តាប់ដោយអកម្មចំពោះសំណើ HTTP POST ដែលមិនបានផ្ទៀងផ្ទាត់ដែលមានទិន្នន័យដែលបង្កើតឡើងជាពិសេស"។ "ប្រសិនបើសំណើបែបនេះត្រូវបានកំណត់អត្តសញ្ញាណ ទ្វារខាងក្រោយនឹងព្យាយាមវិភាគខ្លឹមសារដោយប្រើនីតិវិធីឌិកូដផ្ទាល់ខ្លួន ហើយប្រតិបត្តិវានៅក្នុងសែលប្រព័ន្ធ"។
ក្នុងករណីដែលគ្មានបំណះ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យស្តារឧបករណ៍របស់ពួកគេឡើងវិញទៅការកំណត់រចនាសម្ព័ន្ធដែលមានសុវត្ថិភាព កំណត់ការចូលប្រើពីអ៊ីនធឺណិត ធានាសុវត្ថិភាពឧបករណ៍នៅពីក្រោយជញ្ជាំងភ្លើងដើម្បីអនុញ្ញាតចរាចរណ៍ពីម៉ាស៊ីនដែលទុកចិត្តតែប៉ុណ្ណោះ បំបែកមុខងារសំបុត្រ និងការគ្រប់គ្រងទៅលើចំណុចប្រទាក់បណ្តាញដាច់ដោយឡែក ត្រួតពិនិត្យចរាចរណ៍កំណត់ហេតុគេហទំព័រសម្រាប់ចរាចរណ៍ដែលមិននឹកស្មានដល់ និងបិទ HTTP សម្រាប់វិបផតថលអ្នកគ្រប់គ្រងសំខាន់។
វាក៏ត្រូវបានណែនាំផងដែរឱ្យបិទសេវាកម្មបណ្តាញណាមួយដែលមិនចាំបាច់ ប្រើវិធីសាស្ត្រផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់ចុងក្រោយដ៏រឹងមាំដូចជា SAML ឬ LDAP និងផ្លាស់ប្តូរពាក្យសម្ងាត់អ្នកគ្រប់គ្រងលំនាំដើមទៅជាបំណះដែលមានសុវត្ថិភាពជាង។
ក្រុមហ៊ុនបាននិយាយថា "ក្នុងករណីមានការសម្របសម្រួលដែលបានបញ្ជាក់ ការសាងសង់ឧបករណ៍ឡើងវិញគឺជាជម្រើសតែមួយគត់ដែលអាចអនុវត្តបានដើម្បីលុបបំបាត់យន្តការរក្សាការគំរាមកំហែងរបស់អ្នកគំរាមកំហែងចេញពីឧបករណ៍"។
ការវិវឌ្ឍនេះបានជំរុញឱ្យទីភ្នាក់ងារសន្តិសុខ និងហេដ្ឋារចនាសម្ព័ន្ធសន្តិសុខតាមអ៊ីនធឺណិតរបស់សហរដ្ឋអាមេរិក (CISA) បន្ថែម CVE-2025-20393 ទៅក្នុងកាតាឡុកភាពងាយរងគ្រោះដែលគេស្គាល់ (KEV) របស់ខ្លួន ដោយទាមទារឱ្យទីភ្នាក់ងារសហព័ន្ធស៊ីវិលប្រតិបត្តិ (FCEB) អនុវត្តការកាត់បន្ថយចាំបាច់ត្រឹមថ្ងៃទី 24 ខែធ្នូ ឆ្នាំ 2025 ដើម្បីធានាសុវត្ថិភាពបណ្តាញរបស់ពួកគេ។
ការបង្ហាញព័ត៌មាននេះកើតឡើងនៅពេលដែល GreyNoise បាននិយាយថាខ្លួនបានរកឃើញ "យុទ្ធនាការផ្អែកលើលិខិតសម្គាល់ដោយស្វ័យប្រវត្តិ និងសម្របសម្រួល" ដែលមានគោលបំណងទៅលើហេដ្ឋារចនាសម្ព័ន្ធផ្ទៀងផ្ទាត់ VPN របស់សហគ្រាស ជាពិសេសការស៊ើបអង្កេតវិបផតថល Cisco SSL VPN និង Palo Alto Networks GlobalProtect ដែលត្រូវបានបង្ហាញ ឬការពារខ្សោយ។ អាសយដ្ឋាន IP តែមួយគត់ជាង 10,000 ត្រូវបានប៉ាន់ប្រមាណថាបានចូលរួមក្នុងការវាយប្រហារដោយស្វ័យប្រវត្តិទៅលើវិបផតថល GlobalProtect ដែលមានទីតាំងនៅសហរដ្ឋអាមេរិក ប៉ាគីស្ថាន និងម៉ិកស៊ិក ដោយប្រើឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់រួមនៅថ្ងៃទី 11 ខែធ្នូ ឆ្នាំ 2025។ ការកើនឡើងស្រដៀងគ្នានេះនៃការប៉ុនប៉ងវាយប្រហារដោយកម្លាំងឱកាសនិយមត្រូវបានកត់ត្រាប្រឆាំងនឹងចំណុចបញ្ចប់ Cisco SSL VPN គិតត្រឹមថ្ងៃទី 12 ខែធ្នូ ឆ្នាំ 2025។ សកម្មភាពនេះមានប្រភពមកពីអាសយដ្ឋាន IP ចំនួន 1,273។
ក្រុមហ៊ុនស៊ើបការណ៍សម្ងាត់គំរាមកំហែងបាននិយាយថា "សកម្មភាពនេះឆ្លុះបញ្ចាំងពីការប៉ុនប៉ងវាយប្រហារដោយស្គ្រីបទ្រង់ទ្រាយធំ មិនមែនការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះទេ"។ "ការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ និងពេលវេលាដែលស៊ីសង្វាក់គ្នាបង្ហាញពីយុទ្ធនាការតែមួយដែលកំពុងផ្លាស់ប្តូរនៅទូទាំងវេទិកា VPN ច្រើន"។
