แฮกเกอร์เจาะช่องโหว่เก่าใน Cisco Firepower หลายองค์กรโดนเล่นงาน เพราะไม่ยอมอัปเดต
มีการเปิดเผยว่ากลุ่มผู้โจมตีระดับรัฐ (state-sponsored) กำลังใช้ “ช่องโหว่เก่า” หรือ N-day vulnerabilities ในอุปกรณ์ Cisco Firepower เพื่อเข้าควบคุมเครือข่ายของเป้าหมาย
ฝังมัลแวร์ FIRESTARTER
รายงานระบุว่ากลุ่มแฮกเกอร์ที่ถูกติดตามในชื่อ UAT-4356 ใช้ช่องโหว่ที่มีการแพตช์แล้ว ได้แก่ CVE-2025-20333 และ CVE-2025-20362 เพื่อเจาะระบบ Firepower eXtensible Operating System (FXOS) ของ Cisco
หลังจากเจาะระบบได้สำเร็จ ผู้โจมตีจะติดตั้งมัลแวร์แบบกำหนดเองชื่อ “FIRESTARTER” ซึ่งเป็นแบ็กดอร์ที่ออกแบบมาเพื่อควบคุมอุปกรณ์จากระยะไกลอย่างต่อเนื่อง
มัลแวร์ตัวนี้มีความสามารถขั้นสูง โดยฝังตัวในกระบวนการสำคัญของระบบ เช่น LINA process ของอุปกรณ์ Cisco ทำให้สามารถรันคำสั่งหรือโค้ดอันตรายได้โดยตรงในหน่วยความจำ
ที่น่ากังวลคือเทคนิคการฝังตัวของ FIRESTARTER ถูกออกแบบให้ “อยู่รอดหลังรีบูต” โดยใช้วิธีแก้ไขลำดับการบูตของระบบ และซ่อนตัวในไฟล์ log เพื่อกลับมาทำงานใหม่โดยอัตโนมัติ
ผลลัพธ์คือ แฮกเกอร์สามารถรักษาการเข้าถึงระบบได้ในระยะยาว (persistent access) โดยแทบไม่ต้องเจาะซ้ำ
ไม่อัปเดต เลยโดนเล่นงาน
แม้ช่องโหว่เหล่านี้จะไม่ใช่ Zero-Day แต่ปัญหาคือหลายองค์กรยังไม่ได้อัปเดตแพตช์ ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากจุดอ่อนเดิมเข้าถึงระบบได้โดยไม่ต้องพัฒนาเทคนิคใหม่ใด ๆ
พฤติกรรมลักษณะนี้สะท้อนให้เห็นว่า “ความล่าช้าในการแพตช์” กลายเป็นช่องโหว่สำคัญยิ่งกว่าตัวซอฟต์แวร์เอง และยังเป็นรูปแบบการโจมตีที่เกิดขึ้นซ้ำ ๆ ในระบบเครือข่ายองค์กรทั่วโลก
การอัปเดตแพตช์อย่างสม่ำเสมอไม่ใช่แค่เรื่องพื้นฐาน แต่เป็นแนวป้องกันที่สำคัญที่สุด เพราะในหลายกรณี “ช่องโหว่ที่รู้แล้ว” กลับกลายเป็นช่องทางโจมตีที่ได้ผลมากที่สุดในโลกความจริง