Cisco ได้ประกาศแพตซ์อัปเดตช่องโหว่ระดับ critical ที่ถูกพบใน Web UI ของ IP phone หลายรุ่น ซึ่งส่งผลให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)
โดยช่องโหว่มีหมายเลข CVE-2023-20078 ซึ่งเป็นช่องโหว่ที่สามารถแทรกคำสั่งที่เป็นอันตรายไปยังระบบ รวมถึงสามารถยกระดับสิทธิเป็น Root ภายหลังจากที่สามารถโจมตีสำเร็จ
โดย Cisco ยังได้ประกาศช่องโหว่ที่มีหมายเลข CVE-2023-20079 ซึ่งเป็นช่องโหว่ที่สามารถใช้ในการทำ Denial-of-Service (DoS) ได้
ซึ่งช่องโหว่ทั้งสองรายการทำให้เกิดข้อผิดพลาดในการตรวจสอบสิทธิ ทำให้สามารถถูกโจมตีด้วย request ที่เป็นอันตรายที่ถูกส่งไปยัง web-based management interface ของเป้าหมาย
ช่องโหว่ดังกล่าวถูกค้นพบ โดย Zack Sanchez จาก Cisco Advanced Security Initiatives Group (ASIG) ระหว่างการทดสอบความปลอดภัยของระบบภายใน
จากการตรวจสอบของทีม Product Security Incident Response Team (PSIRT) ยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว
อุปกรณ์ที่ได้รับผลกระทบ
รายการอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ มีดังนี้
- Cisco IP Phone 6800, 7800 และ 8800 series ที่มีเฟิร์มแวร์หลายแพลตฟอร์ม (เสี่ยงต่อการโจมตีทั้ง RCE และ DoS)
- Cisco Unified IP Conference Phone 8831
- Cisco Unified IP Conference Phone 8831 Multiplatform Firmware
- Cisco Unified IP Phone 7900 Series (เสี่ยงต่อการโจมตี DoS)
โดย Cisco จะออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20078 แต่จะไม่ออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20079 เนื่องจาก Cisco Unified IP Phone 7900 Series และ Cisco Unified IP Conference Phone 8831 เป็นอุปกรณ์ที่สิ้นสุดอายุการใช้งานแล้ว (end-of-life)
ที่มา : bleepingcomputer
You must be logged in to post a comment.