จำนวนอุปกรณ์ Cisco IOS XE ที่ตรวจพบโค้ด Backdoor อันตราย อยู่ดีๆ ก็ร่วงลงจากหลักห้าหมื่นลงมาเหลือไม่กี่ร้อย ไม่ใช่เพราะผู้คนตระหนักและอัปเดตแก้ไขช่องโหว่อย่างรวดเร็ว แต่เป็นเพราะแฮ็กเกอร์รีบอัปเดตโปรแกรมแบ๊กดอร์ตัวเองเพื่อหลบการตรวจจับมากกว่า
โดยช่วงสัปดาห์ที่ผ่านมา ซิสโก้แจ้งเตือนพบการใช้ประโยชน์จากช่องโหว่แบบ Zero-day 2 รายการในวงกว้าง ได้แก่ CVE-2023-20198 และ CVE-2023-20273 เพื่อสร้างบัญชีที่ยกระดับสิทธิ์ และแอบติดตั้งโค้ดแบ๊กดอร์ภาษา LUA
โค้ดประตูหลังนี้ทำให้ผู้ไม่หวังดีเข้ามารันคำสั่งได้จากระยะไกล ด้วยสิทธิ์สูงสุดระดับ Level 15 บนอุปกรณ์ แต่ประตูหลังนี้ไม่ได้อยู่ถาวร แค่รีบูตอุปกรณ์ก็สามารถกำจัดแบ๊กดอร์นี้ได้แล้ว แม้จะไม่ได้ลบบัญชีผู้ใช้ที่ถูกสร้างก่อนหน้านี้ด้วย
ทางผู้ก่อตั้ง และซีทีโอของ Onyphe คุณ Patrice Auffret ให้สัมภาษณ์ว่า เชื่อว่าการที่จำนวนอุปกรณ์ที่พบประตูหลังลดลงผิดปกติ เกิดจากผู้โจมตีแอบอัปเดตโค้ดตัวเองเพื่อหลบการสแกนมากกว่า หรือไม่งั้นก็คือแฮ็กเกอร์สั่งรีบูตอุปกรณ์เพื่อลบร่องรอยตัวเอง
อ่านเพิ่มเติมที่นี่ – BCP
