Cisco ออกประกาศเตือนช่องโหว่ zero-day ระดับรุนแรงสูงสุดในซอฟต์แวร์ AsyncOS กำลังถูกใช้โจมตีจริง กระทบ Secure Email Gateway

24 ธันวาคม 2025 modify ข่าว 0

Cisco logo

ช่องโหว่ CVE-2025-20393 ระดับวิกฤตใน Cisco AsyncOS ถูกกลุ่ม APT ใช้โจมตีแล้ว เปิดทางรันคำสั่งสิทธิ์ root แนะองค์กรเร่งจำกัดการเข้าถึงและปรับคอนฟิกก่อนแพตช์ออก


Cisco ออกประกาศเตือนด้านความปลอดภัยเกี่ยวกับช่องโหว่ zero-day ระดับรุนแรงสูงสุดในซอฟต์แวร์ AsyncOS ซึ่งกำลังถูกใช้โจมตีจริงในปัจจุบัน โดยช่องโหว่นี้กระทบอุปกรณ์ Cisco Secure Email Gateway และ Cisco Secure Email and Web Manager และถูกติดตามด้วยรหัส CVE-2025-20393 ซึ่งมีคะแนนความรุนแรง CVSS 10.0

Cisco ระบุว่าพบการโจมตีดังกล่าวเมื่อวันที่ 10 ธันวาคม 2025 และเป็นการโจมตีจากกลุ่มผู้คุกคามขั้นสูงที่มีความเชื่อมโยงกับจีน ใช้รหัสติดตามว่า UAT-9686 โดยการโจมตีเปิดทางให้ผู้ไม่หวังดีสามารถรันคำสั่งใด ๆ ด้วยสิทธิ์ระดับ root บนระบบปฏิบัติการของอุปกรณ์ได้โดยตรง พร้อมทั้งพบหลักฐานว่าผู้โจมตีได้ติดตั้งกลไก persistence เพื่อคงการควบคุมระบบไว้ในระยะยาว

ช่องโหว่นี้เกิดจากการตรวจสอบอินพุตที่ไม่เหมาะสม และส่งผลกระทบต่อ AsyncOS ทุกเวอร์ชัน อย่างไรก็ตาม Cisco ระบุว่าการโจมตีจะสำเร็จได้ก็ต่อเมื่ออุปกรณ์มีการเปิดใช้งานฟีเจอร์ Spam Quarantine และฟีเจอร์ดังกล่าวสามารถเข้าถึงได้จากอินเทอร์เน็ตโดยตรง ซึ่ง Spam Quarantine ไม่ได้ถูกเปิดใช้งานเป็นค่าเริ่มต้น

จากการวิเคราะห์กิจกรรมการโจมตี พบว่าผู้โจมตีใช้ช่องโหว่นี้ตั้งแต่ปลายเดือนพฤศจิกายน 2025 เพื่อฝังเครื่องมือหลายชนิด เช่น ReverseSSH หรือ AquaTunnel และ Chisel สำหรับการทำ tunneling รวมถึงเครื่องมือทำความสะอาด log ชื่อ AquaPurge และแบ็กดอร์ Python ชื่อ AquaShell ซึ่งสามารถรับคำสั่งผ่าน HTTP POST แบบไม่ต้องยืนยันตัวตนและรันคำสั่งผ่าน system shell ได้

ในขณะนี้ Cisco ยังไม่ออกแพตช์แก้ไขช่องโหว่ดังกล่าว และแนะนำให้ผู้ดูแลระบบดำเนินมาตรการลดความเสี่ยงทันที เช่น จำกัดการเข้าถึงจากอินเทอร์เน็ต วางอุปกรณ์ไว้หลังไฟร์วอลล์ อนุญาตเฉพาะโฮสต์ที่เชื่อถือได้ แยกอินเทอร์เฟซสำหรับงานอีเมลและการจัดการ ตรวจสอบ web log อย่างใกล้ชิด ปิด HTTP สำหรับพอร์ทัลผู้ดูแล และปิดบริการเครือข่ายที่ไม่จำเป็น พร้อมทั้งเปลี่ยนรหัสผ่านผู้ดูแลระบบเริ่มต้นและใช้ระบบยืนยันตัวตนที่แข็งแรง เช่น SAML หรือ LDAP

Cisco ระบุชัดเจนว่า หากยืนยันแล้วว่าอุปกรณ์ถูกเจาะ การ rebuild ระบบใหม่ทั้งหมดเป็นทางเลือกเดียวในขณะนี้ที่สามารถลบกลไก persistence ของผู้โจมตีออกได้อย่างสมบูรณ์

กรณีดังกล่าวทำให้หน่วยงาน CISA ของสหรัฐฯ เพิ่ม CVE-2025-20393 เข้าไปในรายการ Known Exploited Vulnerabilities และกำหนดให้หน่วยงานภาครัฐต้องดำเนินการป้องกันภายในวันที่ 24 ธันวาคม 2025

ที่มา: Cisco, The Hacker News

About modify 6548 Articles
สามารถนำบทความไปเผยแพร่ได้อย่างอิสระ โดยกล่าวถึงแหล่งที่มา เป็นลิงค์กลับมายังบทความนั้นๆ บทความอาจมีการพิมพ์ตกเรื่องภาษาไปบ้าง ต้องขออภัย พยามจะพิมพ์ผิดให้น้อยที่สุด (ทำเว็บคนเดียวไม่มีคนตรวจทาน) บทความที่สอนเรื่องต่างๆ กรุณาอ่านบทความให้เข้าใจก่อนโพสต์ถาม ติดตรงไหนสามารถถามได้ที่โพสต์นั้นๆ

Be the first to comment

Leave a Reply

Your email address will not be published.