កាលពីថ្ងៃទី១៣ ខែសីហា ឆ្នាំ២០១៦ កន្លងទៅនេះ ក្រុមអ្នកវាយប្រហារមួយឈ្មោះថា “Shadow Brokers” បានបញ្ចេញនូវកម្មវិធីសម្រាប់ហេគ (hacking tools) ជាច្រើនដែលមានគោលដៅវាយប្រហារទៅលើឧបករណ៍បណ្តាញ (network devices)។ ឧបករណ៍ណេតវើកទាំងនោះរួមមាន Cisco, WatchGuard និង Fortinet ។ ឯកសារដែលត្រូវបានបញ្ចេញផងដែរនោះរួមមាននូវ exploits, discovery tools, implants និង documentation អំពីវីធីសាស្ត្រប្រើប្រាស់ tools ផងដែរ។ អ្នកប្រើប្រាស់ និងអង្គភាពដែលប្រើប្រាស់ឧបករណ៍ណេតវើកត្រូវតែធ្វើការជួសជុលកំហុសឆ្គងជាបន្ទាន់។
ឧបករណ៍ណេតវើកដែលរងផលប៉ៈពាល់ក្នុងពេលនេះ រួមមានដូចខាងក្រោម៖
– Cisco ASA 8.4(3) and earlier
– Cisco ASA 5500 Series Adaptive Security Appliances
– Cisco ASA 5500-X Series Next-Generation Firewalls
– Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
– Cisco ASA 1000V Cloud Firewall
– Cisco Adaptive Security Virtual Appliance (ASAv)
– Cisco Firepower 4100 Series
– Cisco Firepower 9300 ASA Security Module
– Cisco Firepower Threat Defense Software
– Cisco Industrial Security Appliance 3000
– Cisco PIX Firewalls*
– Cisco Firewall Services Module (FWSM)*
– FortiGate (FortiOS) 4.3.8 and below
– FortiGate (FortiOS) 4.2.12 and below
– FortiGate (FortiOS) 4.1.10 and below
– FortiSwitch 3.4.2 and below
– WatchGuard RapidStream devices
ផលប៉ៈពាល់
កម្មវិធីវាយប្រហារមួយចំនួនដែលយកបាននោះត្រូវបានគេផ្ទៀងផ្ទាត់ធ្វើតេស្តសាកល្បង គឺឃើញថាដំណើរការបានយ៉ាងរលូន ហើយអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការជ្រៀតចូលរំលងទៅលើការផ្ទៀងផ្ទាត់ សិទ្ធ (authentication), ទាញយកនូវសិទ្ធិជាអភិបាល និងលួចព័ត៌មានដូចជា VPN password ឬ cryptographic keys ដែលរក្សាទុកនៅក្នុង cached ឬរក្សាទុកនៅក្នុងឧបករណ៍នោះតែម្តង។ ផលប៉ៈពាល់ដោយសារបញ្ហានេះគឺមានលក្ខណៈធ្ងន់ធ្ងរ។
អនុសាសន៍
១. សូមធ្វើការផ្ទៀងផ្ទាត់ (verify) នូវឈ្មោះឧបករណ៍បណ្តាញដែលបានរៀបរាប់ខាងលើ
២. បើសិនជារកឃើញនូវតម្រុញនៃការវាយប្រហារ៖
ក. សូមធ្វើការ backup នូវ configuration files របស់ឧបករណ៍
ខ. សូមធ្វើការបញ្ចូលសារជាថ្មី (reinstall) នូវ firmware របស់ឧបករណ៍ ហើយធ្វើ configuration ឡើងវិញ
៣. នៅពេលដែលមានកម្មវិធីជួសជុល (patches) ឬ upgrades សូមធ្វើការអាប់ដេតវាជាបន្ទាន់
៤. ធ្វើការកំណត់ (restrict) នូវ SSH និង/ឬ Telnet logins ទៅកាន់ឧបករណ៍ណេតវើកនោះ ដោយកំណត់នូវចំនួន IPs ដែលអ្នកទុកចិត្ត
៥. បើសិនជាអ្នកអាចធ្វើទៅបាន សូមដាក់ឲ្យមានមុខងារ multi-factor authentication នៅលើឧបករណ៍នោះ
៦. សូមពិនិត្យទៅលើឯកសាររបស់អ្នកផ្គត់ផ្គង់ឧបករណ៍ និងសៀវភៅណែនាំ ក្នុងការពង្រឹងសុវត្ថិភាពឧបករណ៍ (configuration)
៧. សូមធ្វើផែនការក្នុងការផ្លាស់ប្តូរឧបករណ៍ចាស់ៗចោល
ឯកសារយោង៖
https://blogs.cisco.com/security/shadow-brokers
http://tools.cisco.com/security/center/viewErp.x?alertId=ERP-56516
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-snmp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160817-asa-cli
http://fortiguard.com/advisory/FG-IR-16-023
https://www.secplicity.org/2016/08/16/nsa-equation-group-exploit-leak-mean
http://www.topsec.com.cn/aqtb/aqtb1/jjtg/160820.htm
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20160823-01-shadowbrokers-en
https://forums.juniper.net/t5/Security-Incident-Response/Shadow-Brokers-Release-of-Hacking-Code/ba-p/296128
https://devcentral.f5.com/articles/leaked-shadowbrokers-tools-does-not-target-f5-networks-21700
https://musalbas.com/2016/08/16/equation-group-firewall-operations-catalogue.html
http://cert.europa.eu/static/SecurityAdvisories/CERT-EU-SA2016-133.pdf
https://www.cert.gov.uk/resources/advisories/advisory-multiple-vulnerabilities-in-various-products-posted-online/
https://xorcat.net/2016/08/16/equationgroup-tool-leak-extrabacon-demo/
https://xorcat.net/2016/08/19/equation-group-crashing-asas-follow-up/