Cisco กล่าวว่าจะแก้ไขช่องโหว่ความปลอดภัยระดับ ‘critical’ ใน UCS ในตอนนี้
Cisco ได้ทำการแจ้งคำเตือนด้านความปลอดภัยที่สำคัญ 17 รายการเกี่ยวข้องกับช่องโหว่การตรวจสอบความถูกต้องใน Unified Computing System (UCS) ซึ่งอาจทำให้ผู้บุกรุกเข้าสู่ระบบหรือทำให้เกิดปัญหาการปฏิเสธการให้บริการ (Dos) ตัวอย่างช่องโหว่ที่สำคัญเช่น
ช่องโหว่ CVE-2020-3243 (CVSS: 9.8) เป็นช่องโหว่ที่เกิดขึ้นกับ REST API ใน Cisco UCS Director และ UCS Director Express สำหรับ Big Data ช่องโหว่เกิดจากการตรวจสอบความถูกต้องของการควบคุมการเข้าถึงที่ไม่เพียงพอ ทำให้ผู้ผู้โจมตีระยะไกลสามารถโจมตีช่องโหว่นี้ได้โดยส่งคำร้องขอที่สร้างขึ้นเป็นพิเศษเพื่อทำการตอบโต้กับ REST API ถ้าการส่งคำร้องขอผู้โจมตีสำเร็จผู้โจมตีสามารถทำการ Bypass และสามารถดำเนินการด้วยสิทธิ์ระดับผู้ดูแลระบบบนอุปกรณ์ที่เป็นเป้าหมายได้
ช่องโหว่ CVE-2020-3240 (CVSS: 8.8) เป็นช่องโหว่ที่เกิดขึ้นกับ REST API ใน Cisco UCS Director และ UCS Director Express สำหรับ Big Data ช่องโหว่เกิดจากการตรวจสอบอินพุตที่ไม่ถูกต้อง ทำให้ผู้โจมตีสามารถใช้ประโยชน์โดยการส่งไฟล์ที่เป็นอันตรายไปที่ REST API ถ้าการโจมตีสำเร็จผู้โจมตีสามารถทำการรีโมท shell และรันโค้ดด้วยสิทธิ์ของ root ได้จากระยะไกล
ช่องโหว่ CVE-2020-3250 (CVSS: 8.8) เป็นช่องโหว่ที่เกิดขึ้นกับ REST API ใน Cisco UCS Director และ UCS Director Express สำหรับ Big Data ช่องโหว่เกิดจากการตรวจสอบความถูกต้องของการควบคุมการเข้าถึงที่ไม่เพียงพอ ทำให้ผู้ผู้โจมตีสามารถโจมตีช่องโหว่นี้ได้โดยส่งคำขอไปยัง REST API endpoint ถ้าการส่งคำร้องขอผู้โจมตีสำเร็จอาจทำให้ผู้โจมตีสามารถโต้ตอบกับ REST API และสามารถทำให้เกิดการปฏิเสธการให้บริการ (Dos) บนอุปกรณ์ที่เป็นเป้าหมายได้
แพตช์การแก้ไขช่องโหว่
Cisco ได้ทำการอัพเดตแพตช์การแก้ไขช่องโหว่แล้วใน UCS Director เวอร์ชั่น 6.7.4.0 และ UCS Director Express สำหรับ Big Data เวอร์ชั่น 3.7.4.0
ที่มา: networkworld
You must be logged in to post a comment.