Cisco ได้แก้ไขช่องโหว่ระดับ Critical (คะแนน CVSS:3.1 10.0) ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ root บน access points ของ Ultra-Reliable Wireless Backhaul (URWB) ที่มีช่องโหว่ได้ โดยเป็นการเชื่อมต่อสำหรับ wireless automation ในระบบอุตสาหกรรม
ช่องโหว่หมายเลข CVE-2024-20418 ถูกพบใน web-based management ของ Cisco Unified Industrial Wireless Software ซึ่งช่องโหว่นี้สามารถถูกโจมตีได้จากผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน (unauthenticated threat actors) และเป็นการโจมตีที่มีความซับซ้อนต่ำ เช่น การโจมตีแบบ command injection และไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน
Cisco ระบุในคำแนะนำด้านความปลอดภัยที่เผยแพร่เมื่อวันพุธที่ผ่านมาว่า "ช่องโหว่นี้เกิดจากการตรวจสอบข้อมูลที่ไม่ถูกต้องใน web-based management interface โดยผู้โจมตีจะใช้ช่องโหว่นี้เพื่อส่ง HTTP request ที่ถูกสร้างขึ้นมาเป็นพิเศษไปยัง web-based management interface ของระบบที่ได้รับผลกระทบ
"หากสามารถโจมตีได้สำเร็จ อาจทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งได้ตามต้องการด้วยสิทธิ์ root บนระบบปฏิบัติการที่อยู่เบื้องหลังของอุปกรณ์ที่ได้รับผลกระทบ"
Cisco อธิบายว่า ช่องโหว่นี้มีผลกระทบต่อ Catalyst IW9165D Heavy Duty Access Points, Catalyst IW9165E Rugged Access Points, Wireless Clients และ Catalyst IW9167E Heavy Duty Access Points แต่จะเกิดขึ้นเฉพาะในกรณีที่อุปกรณ์เหล่านั้นใช้ซอฟต์แวร์ที่มีช่องโหว่ และเปิดใช้งานโหมดการทำงาน URWB ไว้เท่านั้น
ทีมตอบสนองเหตุการณ์ด้านความปลอดภัยผลิตภัณฑ์ (PSIRT) ของ Cisco ยังคงต้องค้นหาหลักฐานของ exploit code ที่ถูกเปิดเผยออกสู่สาธารณะ หรือค้นหาหลักฐานที่ระบุว่าช่องโหว่ดังกล่าวกำลังถูกนำไปใช้ในการโจมตี
ผู้ดูแลระบบสามารถตรวจสอบว่าโหมดการทำงานของ URWB เปิดใช้งานอยู่หรือไม่ โดยการใช้คำสั่ง CLI "show mpls-config" หากคำสั่งนี้ไม่สามารถใช้ได้แสดงว่า URWB ถูกปิดใช้งาน และอุปกรณ์จะไม่ได้รับผลกระทบจากช่องโหว่นี้
นอกจากนี้ Cisco ยังได้แก้ไขช่องโหว่ที่ทำให้เกิดการปฏิเสธการให้บริการ (Denial-of-Service) ในซอฟต์แวร์ Cisco ASA และ Firepower Threat Defense (FTD) ในเดือนกรกฎาคมที่ผ่านมา ซึ่งถูกค้นพบในเดือนเมษายน และขณะเดียวกันก็มีการใช้ช่องโหว่นี้ในการโจมตีแบบ brute-force จำนวนมากที่มุ่งเป้าไปยังอุปกรณ์ Cisco VPN
หนึ่งเดือนก่อนหน้านี้ บริษัทได้เผยแพร่การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ command injection ซึ่งมี public exploit code ที่ช่วยให้ผู้โจมตีสามารถเพิ่มสิทธิ์ root บนระบบที่มีช่องโหว่ได้
ในเดือนกรกฎาคม CISA และ FBI ได้เรียกร้องให้บริษัทต่าง ๆ ทำการแก้ไขช่องโหว่ Path OS command injection ก่อนที่จะส่งซอฟต์แวร์ออกสู่ตลาด เพื่อเป็นการป้องกันการโจมตีที่จะเกิดขึ้น ซึ่งอุปกรณ์เครือข่ายของ Cisco, Palo Alto และ Ivanti ถูกโจมตี และถูกแทรกซึมโดยการใช้ประโยชน์จากช่องโหว่ OS command injection หลายรายการ (CVE-2024-20399, CVE-2024-3400 และ CVE-2024-21887)
ที่มา : bleepingcomputer
You must be logged in to post a comment.