ช่องโหว่ zero-day ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่ออุปกรณ์ของ Cisco มากถึง 2 ล้านเครื่อง ได้จุดประกายการถกเถียงอย่างเข้มข้นเกี่ยวกับมาตรฐานด้านวิศวกรรมที่เสื่อมถอยของยักษ์ใหญ่ด้านเครือข่ายแห่งนี้ ช่องโหว่ดังกล่าวซึ่งได้รับการติดตามด้วยรหัส CVE-2025-20352 ทำให้ผู้โจมตีสามารถทำให้ระบบขัดข้องหรือรันโค้ดด้วยสิทธิ์ root ผ่านแพ็กเก็ต SNMP ที่ถูกสร้างขึ้นมาเป็นพิเศษ
รายละเอียดทางเทคนิคของ CVE-2025-20352
- คะแนนความรุนแรง: 7.7 จาก 10
- ระบบที่ได้รับผลกระทบ: ทุกเวอร์ชันที่รองรับของ Cisco IOS และ Cisco IOS XE
- เวกเตอร์การโจมตี: แพ็กเก็ต SNMP ที่ถูกสร้างขึ้นเพื่อโจมตีช่องโหว่ stack overflow
- อุปกรณ์ที่เสี่ยง: อุปกรณ์เครือข่าย Cisco มากถึง 2 ล้านเครื่อง
- การยืนยันตัวตนที่จำเป็น: community string แบบอ่านอย่างเดียว (สำหรับ DoS) หรือสิทธิ์ที่สูงกว่า (สำหรับ RCE)
 |
|---|
| การแสดงแบรนด์ Cisco ที่ขณะนี้กำลังเผชิญกับการตรวจสอบอย่างละเอียดเนื่องจากช่องโหว่ในอุปกรณ์ของบริษัท |
SNMP: ปัญหาที่ยืดเยื้อมาตลอด
ช่องโหว่นี้เน้นย้ำถึงปัญหาที่เกิดขึ้นอย่างต่อเนื่องกับการใช้งาน Simple Network Management Protocol (SNMP) ทั่วทั้งอุตสาหกรรม ผู้เชี่ยวชาญด้านเครือข่ายมองว่า SNMP เป็นปัญหามาโดยตลอด โดยมีความเห็นว่าโปรโตคอลนี้มักถูกมอบหมายให้กับทีมวิศวกรรมที่มีประสบการณ์น้อยกว่าในบริษัทเครือข่าย แม้ว่าโปรโตคอลนี้จะมีประโยชน์สำหรับการตรวจสอบอุปกรณ์ แต่ก็กลายเป็นแหล่งที่มาของปัญหาด้านความปลอดภัยและการขัดข้องของระบบอย่างต่อเนื่อง
SNMP ทำงานโดยใช้ community strings สำหรับการยืนยันตัวตน ซึ่งมักถูกทิ้งไว้ที่ค่าเริ่มต้นหรือถูกแชร์อย่างกว้างขวางภายในองค์กร สำหรับการโจมตีครั้งนี้ ผู้โจมตีต้องการเพียง community strings แบบอ่านอย่างเดียวเพื่อทำการโจมตี denial-of-service ในขณะที่สิทธิ์ที่สูงกว่าจะทำให้สามารถเข้าถึง root ของอุปกรณ์ที่ถูกบุกรุกได้อย่างเต็มรูปแบบ
การเปรียบเทียบเวอร์ชัน SNMP
- SNMPv1/v2c: การป้องกันด้วยรหัสผ่านพื้นฐาน ใช้งานกันอย่างแพร่หลายแต่ไม่ปลอดภัย
- SNMPv3: ความปลอดภัยที่เสริมขึ้นด้วยการเข้ารหัสและการตรวจสอบตัวตน
- ความท้าทาย: SNMPv3 ต้องการการจัดการคีย์ที่ซับซ้อนและโครงสร้างพื้นฐาน PKI
- ความเป็นจริง: ระบบฝังตัวจำนวนมากยังคงใช้ v2c เพื่อความง่าย
ความเสื่อมถอยของ Cisco จากกลยุทธ์การซื้อกิจการ
ช่องโหว่นี้ได้จุดประกายการวิพากษ์วิจารณ์กลยุทธ์ทางธุรกิจของ Cisco ในช่วงสองทศวรรษที่ผ่านมาอีกครั้ง ผู้สังเกตการณ์ในอุตสาหกรรมชี้ให้เห็นรูปแบบที่บริษัทซื้อกิจการสตาร์ทอัพที่มีแนวโน้มดี จากนั้นจึงลดการลงทุนด้านวิศวกรรมและการพัฒนาผลิตภัณฑ์อย่างเป็นระบบ พนักงานปัจจุบันและอดีตพนักงานอธิบายถึงวงจรที่บริษัทที่ถูกซื้อกิจการถูกดูดเลือดจนแห้งผ่านการเลิกจ้างผู้จัดการผลิตภัณฑ์ ทีมประกันคุณภาพ และนักพัฒนา
แม้ว่าผลิตภัณฑ์ของเราจะใกล้เคียงกับผู้นำในอุตสาหกรรม แต่พวกเขาก็เลิกจ้างผู้จัดการผลิตภัณฑ์ของเรา จากนั้นก็อีกคนหนึ่ง ทีม QA และนักพัฒนาครึ่งหนึ่ง ไม่น่าแปลกใจเลยที่ผลิตภัณฑ์กำลังพังทลาย
แนวทางนี้ได้เปลี่ยน Cisco จากบริษัทที่เน้นวิศวกรรมให้กลายเป็นสิ่งที่นักวิจารณ์อธิบายว่าเป็นการดำเนินงานแบบ private equity ที่ให้ความสำคัญกับตัวชี้วัดทางการเงินมากกว่าความเป็นเลิศทางเทคนิค
ความท้าทายพื้นฐานของความปลอดภัยเครือข่าย
เหตุการณ์นี้เปิดเผยปัญหาที่ลึกซึ้งกว่าในความปลอดภัยของโครงสร้างพื้นฐานเครือข่าย องค์กรหลายแห่งยังคงพึ่งพา SNMP เวอร์ชันเก่า (v1 และ v2c) ที่ขาดการควบคุมความปลอดภัยที่เหมาะสม ในขณะที่คุณสมบัติความปลอดภัยที่เพิ่มขึ้นของ SNMPv3 ต้องการการจัดการคีย์ที่ซับซ้อนซึ่งองค์กรขนาดเล็กมีปัญหาในการนำไปใช้
สถานการณ์มีความซับซ้อนเพิ่มขึ้นจากข้อเท็จจริงที่ว่าอุปกรณ์มากกว่า 2 ล้านเครื่องทั่วโลกมี SNMP ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต แม้ว่าสิ่งนี้จะถือเป็นการปฏิบัติที่อันตราย ผู้ดูแลระบบเครือข่ายเผชิญกับทางเลือกที่ยาก: ปิดการตรวจสอบ SNMP ทั้งหมดและสูญเสียการมองเห็นโครงสร้างพื้นฐานของตน หรือยอมรับความเสี่ยงด้านความปลอดภัยที่มาพร้อมกับการเปิดใช้งานไว้
ช่องโหว่นี้เป็นการเตือนใจอีกครั้งว่าความปลอดภัยของโครงสร้างพื้นฐานเครือข่ายยังคงเป็นพื้นที่ที่มีปัญหาที่ยังไม่ได้รับการแก้ไขมากมายและการให้ความสำคัญกับการแก้ไขพื้นฐานในอุตสาหกรรมยังไม่เพียงพอ แม้ว่า Cisco จะได้ปล่อยแพตช์สำหรับช่องโหว่นี้แล้ว แต่ปัญหาพื้นฐานทั้งการใช้งาน SNMP และลำดับความสำคัญด้านวิศวกรรมของบริษัทบ่งชี้ว่าปัญหาที่คล้ายกันอาจยังคงเกิดขึ้นต่อไป
อ้างอิง: As many as 2 million Cisco devices affected by actively exploited 0-day