สัปดาห์นี้ Cisco ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเลี่ยงการตรวจสอบสิทธิ์ และ login เข้าใช้งาน web management ของอุปกรณ์ Cisco email gateway ได้
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-20798 ซึ่งถูกพบในฟังก์ชันการ authentication บน Cisco Email Security Appliance (ESA) และ Cisco Secure Email และ Web Manager appliances
ช่องโหว่ดังกล่าวเกิดจากการตรวจสอบการพิสูจน์ตัวตนที่ไม่เหมาะสม จากการใช้ Lightweight Directory Access Protocol (LDAP) สำหรับการตรวจสอบสิทธิ์
"ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการใส่ข้อมูลเฉพาะบางอย่างในหน้า login เข้าสู่ระบบ ซึ่งหากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถเข้าถึง web-base management interface บนอุปกรณ์ที่มีช่องโหว่ได้" Cisco กล่าว
"โดยช่องโหว่ดังกล่าวถูกพบระหว่างแก้ปัญหาที่ถูกแจ้งเข้ามาทาง Cisco TAC (Technical Assistance Center)"
ทีม Product Security Incident Response Team (PSIRT) ของ Cisco กล่าวว่ายังไม่พบข้อมูลว่ามีการโจมตีโดยใช้ช่องโหว่ดังกล่าวในปัจจุบัน
หากใช้งานแบบ default configuration จะไม่ได้รับผลกระทบ
ช่องโหว่นี้จะมีผลกับอุปกรณ์ที่กำหนดค่าให้ใช้การตรวจสอบสิทธิ์จากภายนอก และใช้ LDAP เป็นโปรโตคอลสำหรับการตรวจสอบสิทธิ์เท่านั้น
Cisco ระบุว่าฟีเจอร์การตรวจสอบสิทธิ์ภายนอกถูกปิดใช้งานโดยค่าเริ่มต้น ซึ่งหมายความว่าเฉพาะอุปกรณ์ที่มีการเปลี่ยนแปลงการตรวจสอบสิทธิ์เท่านั้นที่จะได้รับผลกระทบ
ผู้ใช้งานสามารถตรวจสอบว่ามีการเปิดใช้งานการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ได้โดยการ login เข้าไปที่ web-base management interface ไปที่ System Administration > Users และตรวจสอบว่ามีการเลือก "Enable External Authentication" ไว้หรือไม่
Cisco ระบุว่าช่องโหว่นี้ไม่ส่งผลกระทบต่ออุปกรณ์ Cisco Secure Web Appliance ซึ่งก่อนหน้านี้รู้จักกันในชื่อ Cisco Web Security Appliance (WSA)
ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์สำหรับช่องโหว่ CVE-2022-20798 ได้ สามารถใช้วิธีแก้ไขปัญหาชั่วคราว โดยการปิดการใช้งาน anonymous binds บนฟีเจอร์การตรวจสอบสิทธิ์จากภายนอก
โดยก่อนหน้านี้มีช่องโหว่บน Email gateway อีกรายการที่ได้รับการแก้ไขไปแล้วในเดือนกุมภาพันธ์ ซึ่งอาจทำให้ผู้โจมตีสามารถทำให้อุปกรณ์ที่มีช่องโหว่หยุดการทำงานได้ โดยการใช้ข้อความอีเมลที่ออกแบบมาโดยเฉพาะในการโจมตี
โดยในวันเดียวกันนี้ Cisco ยังประกาศด้วยว่าจะไม่แก้ไขช่องโหว่แบบ zero-day ที่ส่งผลกระทบต่อเราเตอร์ที่ end-of-life ไปแล้วอย่าง RV110W, RV130, RV130W และ RV215W SMB ซึ่งทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายได้ตามที่ต้องการด้วยสิทธิ์ root ได้
ที่มา Bleepingcomputer
You must be logged in to post a comment.