Cisco ออกอัปเดตซอฟต์แวร์แก้ไขช่องโหว่ที่สำคัญในการตรวจสอบสิทธิ์การเข้าถึง

Cisco ออกอัปเดตซอฟต์แวร์เร่งด่วนเพื่อแก้ไขช่องโหว่ที่สำคัญในการตรวจสอบสิทธิ์การเข้าถึง ส่งผลให้ผู้โจมตีสามารถโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์ และลงชื่อเข้าใช้อุปกรณ์ที่มีช่องโหว่ในฐานะผู้ดูแลระบบได้

ช่องโหว่ดังกล่าวถูกจัดให้เป็นช่องโหว่หมายเลข CVE-2021-34746 และได้รับคะแนน CVSS 9.8 ส่งผลกระทบกับ โปรโตคอลการรับรองความถูกต้อง TACACS+, การตรวจสอบสิทธิ์ (authorization) และกระบวนการเก็บบันทึกข้อมูล (accounting) ของซอฟต์แวร์ Cisco Enterprise NFV Infrastructure

ซึ่งช่องโหว่นี้เกิดจาก user-supplied input ตรวจสอบข้อมูลที่กรอกไม่สมบูรณ์ และทำการส่งผ่านไปยังสคริปต์การตรวจสอบความถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้โดยใส่พารามิเตอร์ลงในคำขอตรวจสอบสิทธิ์ได้

ซอฟต์แวร์ Cisco Enterprise NFV Infrastructure ช่วยให้ลูกค้าสามารถปรับใช้งานฟังก์ชัน Virtual Network ให้ได้รับการจัดการโดยอิสระ นอกจากนี้ NFVIS ยังช่วยในการจำลองบริการเครือข่ายสาขาของ Cisco เช่น Integrated Services Virtual Router, virtual WAN optimization, Virtual ASA, virtual Wireless LAN Controller

ช่องโหว่ดังกล่าวถูกค้นพบโดย Cyrille Chatras นักวิจัยด้านความปลอดภัยจาก Orange Group ซึ่งส่งผลต่อ Cisco Enterprise NFVIS 4.5.1 หาก TACACS มีการกำหนดค่าวิธีการตรวจสอบสิทธิ์จากภายนอก
ซึ่งการระบุว่า TACACS มีการเปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์หรือไม่ ผู้ใช้จำเป็นต้องใช้คำสั่ง show running-config tacacs-server ในการตรวจสอบ หากผลลัพธ์ของคำสั่ง show running-config tacacs-server คือ No entries found หมายความว่าไม่ได้เปิดใช้งานคุณลักษณะการตรวจสอบสิทธิ์ภายนอกบนอุปกรณ์

หรือสามารถตรวจสอบผ่าน GUI โดยตรวจสอบการกำหนดค่าผ่าน GUI ดังนี้
Choose Configuration > Host > Security > User and Roles

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกาได้ออกประกาศเร่งด่วนไปยังผู้ใช้และผู้ดูแลระบบเพื่อขอให้ตรวจสอบคำแนะนำของ Cisco และทำการอัปเดตที่จำเป็น

ที่มา: bankinfosecurity.

CISCO ได้มีการอัพเดทระบบความปลอดภัย และพบว่าช่องโหว่ในระบบ

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

Cisco ออกแพทช์แก้ไขช่องโหว่ สามารถถูกนำไปใช้รันคำสั่งอันตรายด้วยสิทธิ์ root

ช่องโหว่ถูกพบในซอฟต์แวร์ SD-WAN vManage (CVE-2021-1479) เวอร์ชั่น 20.4 และก่อนหน้านั้น เป็น pre-authentication นั่นหมายความว่าสามารถรันคำสั่งอันตราย (RCE) ได้โดยไม่จำเป็นที่จะต้องพิสูจน์ตัวตนก่อน มีความรุนแรงระดับสูงมาก (9.8/10) สามารถโจมตีได้ด้วยการส่ง request ที่ถูกดัดแปลงไปยังอุปกรณ์ที่มีช่องโหว่จากระยะไกล ทำให้เกิด buffer overflow นอกจากนี้ยังมีการแก้ไขช่องโหว่ความรุนแรงสูงอื่นๆ อีก 2 รายการ คือ CVE-2021-1137 ในส่วนของ user management และ CVE-2021-1480 ในส่วนของ system file transfer ส่งผลให้ผู้โจมตีสามารถยกระดับสิทธิ์เป็น root ได้ การแพทช์สามารถทำได้ด้วยการอัพเดตเป็นเวอร์ชั่นล่าสุด ได้แก่ 19.2 ไปเป็น 19.2.4, 20.3 ไปเป็น 20.3.3, 20.4 ไปเป็น 20.4.1 และเวอร์ชั่นอื่นๆ ก่อนหน้า อาทิเช่น 18.4 และก่อนหน้า, 19.3 และ 20.1 ให้อัพเดตเป็นเวอร์ชั่นอื่นที่ใหม่กว่านั้น จากนั้นจึงค่อยทำการอัพเดตเป็นเวอร์ชั่นล่าสุด

นอกเหนือจากนี้ยังการเปิดเผยช่องโหว่อื่นๆ อาทิเช่น CVE-2021-1459 ช่องโหว่ RCE ในส่วน interface ของเว็ปเพจสำหรับอุปกรณ์ Cisco Small Business RV110W, RV130, RV130W และ RV215W router ซึ่งช่องโหว่นี้จะไม่ได้รับการแก้ไขแล้ว เนื่องจากอุปกรณ์เป็น end-of-life ไปแล้ว และมีการแก้ไขช่องโหว่ RCE แบบไม่ต้องพิสูจน์ตัวตนในซอฟต์แวร์ของผลิตภัณฑ์ Cisco SD-WAN (CVE-2021-1300) ที่ถูกพบในเดือนมกราคมที่ผ่านมา รวมถึงช่องโหว่ของ SD-WAN อื่นๆ อีก 2 รายการที่ถูกพบเมื่อเดือนกรกฎาคมปีที่แล้ว

ที่มา: bleepingcomputer

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco ที่อาจถูกโจมตี DoS ด้วยช่องโหว่ใน Snort Detection Engine

Cisco ออกแจ้งเตือนถึงผู้ใช้ผลิตภัณฑ์ของ Cisco จากการถูกโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service - DoS) เนื่องจากมีช่องโหว่ในเครื่องมือ Snort Detection Engine

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2021-1285 มีระดับความรุนแรง CVSS อยู่ที่ 7.4/10 ช่องโหว่ถูกพบใน Ethernet Frame Decoder ของ Snort Detection Engine โดยช่องโหว่เกิดจากการจัดการเงื่อนไขของ Error condition ที่ไม่เหมาะสมเมื่อทำการประมวลผล Ethernet frame ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้โดยการส่งแพ็กเกต Ethernet frame ที่สร้างขึ้นเป็นพิเศษและเป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบเพื่อทำให้อุปกรณ์เข้าสู่เงื่อนไข DoS

ช่องโหว่จะส่งผลกระทบต่อ Integrated Service Router (ISR) ซอฟต์แวร์และแพลตฟอร์ม Catalyst Edge และผลิตภัณฑ์ Cloud Services Router ซีรี่ส์ 1000v หากอุปกรณ์ที่กล่าวมาใช้ซอฟต์แวร์ Cisco UTD Snort IPS Engine สำหรับ IOS XE หรือ Cisco UTD Engine สำหรับ IOS XE SD-WAN และได้รับการกำหนดค่าให้ส่ง Ethernet frameไปยัง Snort Detection Engine

ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตแพช์ให้เป็นเวอร์ชันล่าสุด เพื่อแก้ไขช่องโหว่ที่เกิดขึ้นและเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: securityweek, cisco

Cisco ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงใน Cisco ACI Multi-Site Orchestrator

Cisco ได้ออกเเพตช์เพื่อแก้ไขช่องโหว่ที่มีความรุนแรงสูงสุด ถูกพบใน API Endpoint ของ Cisco ACI Multi-Site Orchestrator (MSO) ที่ติดตั้งบน Application Services Engine โดยรายละเอียดของช่องโหว่ที่น่าสนใจมีดังนี้

 

ช่องโหว่แรกถูกติดตามด้วยรหัส CVE-2021-1388 มีคะแนน CVSS อยู่ที่ 10/10 เป็นช่องโหว่ถูกพบใน API Endpoint ของ Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการรับรองความถูกต้องอาจข้ามการพิสูจน์ตัวตน (Authentication Bypass) บนอุปกรณ์ที่ได้รับผลกระทบ โดยการส่ง Request ที่สร้างขึ้นมาเป็นพิเศษเข้ามายังอุปกรณ์ที่เป็นเป้าหมาย เพื่อทำให้ได้รับ Token การตรวจสอบสิทธิ์พร้อมสิทธิ์ระดับผู้ดูแลระบบ ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อเวอร์ชัน Cisco ACI MSO เวอร์ชัน 3.0 ที่ติดตั้งบน Application Services Engine เท่านั้น

 

ช่องโหว่ที่สองถูกติดตามด้วยรหัส CVE-2021-1393 เป็นช่องโหว่ถูกพบใน Cisco Application Services Engine โดยช่องโหว่สามารถอนุญาตให้ผู้โจมตีระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงบริการพิเศษบนอุปกรณ์ที่ได้รับผลกระทบ เพื่อเรียกใช้คอนเทนเนอร์หรือเรียกใช้คำสั่งระดับโฮสต์ได้

 

ทั้งนี้ Cisco ยังได้เเก้ไขช่องโหว่เพิ่มเติมอีกห้ารายการที่ส่งผลกระทบต่อซอฟต์แวร์ Cisco FXOS, ซอฟต์แวร์ Cisco NX-OS และซอฟต์แวร์ Cisco UCS โดยช่องโหว่มีการจัดอันดับความรุนแรง CVSS อยู่ที่ 8.1 - 9.8/10 ผู้ใช้และผู้ดูแลระบบควรทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดโดยเร็วเพื่อป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

 

ที่มา: bleepingcomputer

Cisco แจ้งเตือนช่องโหว่ Remote Code Execution ระดับวิกฤติกับโซลูชัน VPN หลายรายการ

Cisco ออกประกาศแจ้งเตือนช่องโหว่ Remote code execution (RCE) ซึ่งส่งผลกระทบต่อโซลูชันเราท์เตอร์ VPN หลายรายการ ช่องโหว่นี้อยู่ในระดับวิกฤติเนื่องจากผู้โจมตีสามารถรันคำสั่งอันตรายผ่านช่องโหว่ได้ด้วยสิทธิ์สูงสุดของระบบ

อ้างอิงจาก Security advisory ของ Cisco ช่องโหว่โดยส่วนใหญ่ซึ่งถูกแพตช์ในรอบนี้นั้นเกิดจากการตรวจสอบ HTTP request ที่ไม่เหมาะสม ส่งผลให้ผู้โจมตีสามารถส่งข้อมูลแบบพิเศษมาเพื่อโจมตีอุปกรณ์ได้ รายการอุปกรณ์ส่วนใหญ่อยู่ในกลุ่ม Small business router ที่มีรุ่นของเฟิร์มแวร์ก่อนหน้า 1.0.01.02 อาทิ

RV160 VPN Router
RV160W Wireless-AC VPN Router
RV260 VPN Router
RV260P VPN Router POE
RV260W Wireless-AC VPN Router

แพตช์ของช่องโหว่ได้ถูกกระจายแล้ว โดยผู้ใช้งานสามารถทำการอัปเดตแพตช์ได้ทันทีด้วยฟีเจอร์ของอุปกรณ์ เราขอแนะนำให้ทำการอัปเดตแพตช์โดยด่วนก่อนจะมีการใช้ช่องโหว่ในการโจมตีจริง

ที่มา:

bleepingcomputer.

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

Cisco เปิดตัวแพตช์แก้ไขช่องโหว่ RCE ใน Cisco Security Manager

Cisco ได้เปิดตัวแพตช์การอัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่การเรียกใช้โค้ดจากระยะไกล (Remote Code Execution - RCE) ใน Cisco Security Manager (CSM) เวอร์ชัน 4.22 และรุ่นก่อนหน้า ที่ถูกใช้ใน Cisco ASA appliances, Cisco Catalyst 6000 Series Switches, Integrated Services Routers (ISRs), และ Firewall Services modules หลังจาก Florian Hauser นักวิจัยด้านความปลอดภัยจาก Code White ได้เปิดเผย PoC ของช่องโหว่ต่อสาธารณะในเดือนพฤศจิกายนที่ผ่านมา

ช่องโหว่ทั้ง 12 รายการถูกติดตามด้วยรหัส CVE-2020-27131 โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถรันโค้ดได้จากระยะไกลได้ ซึ่งช่องโหว่ยังสามารถทำให้ผู้โจมตีสามารถสร้างคำขอที่เป็นอันตรายตลอดจนอัปโหลดและดาวน์โหลดไฟล์ได้โดยไม่ได้รับอนุญาตในนามของบัญชีผู้ใช้ที่มีสิทธิ์สูงสุด "NT AUTHORITY\SYSTEM"

ทีม Cisco Product Security Incident Response Team (PSIRT) กล่าวว่าในขณะที่ทำการแก้ไขช่องโหว่นี้ เป็นความโชคดีที่ยังไม่พบการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ทั้งนี้ Cisco ได้ทำการแก้ไขช่องโหว่เหล่านี้แล้วใน Cisco Security Manager เวอร์ชัน 4.22 Service Pack 1 ผู้ดูแลระบบควรรีบทำการอัปเดตและติดตั้งเเพตช์ เพื่อเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: bleepingcomputer | securityaffairs

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ระดับ “High-severity” ที่ทำให้ผู้โจมตีสามารถส่งแพ็คเก็ตเพื่อทำการ DoS ใส่ Cisco ASR Router

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ที่มีความรุนแรงระดับ “High-severity” ในซอฟต์แวร์ Cisco IOS XR โดยช่องโหว่อาจทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบความถูกต้องสามารถทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ หรือ Denial-of-Service (DoS) บนอุปกรณ์ Cisco Aggregation Services Routers (ASR) ได้

ช่องโหว่ CVE-2020-26070 (CVSSv3: 8.6/10) เป็นช่องโหว่ที่เกิดจากปัญหาที่เกี่ยวกับฟังก์ชันการประมวลผลแพ็คเก็ตของซอฟต์แวร์ Cisco IOS XR โดยผู้โจมตีจากระยะไกลที่ไม่ได้รับการตรวจสอบความถูกต้องสามารถส่งข้อมูลสตรีมที่สร้างขึ้นมาเป็นพิเศษบนโปรโตคอล Protocol Data Unit (PDU) เลเยอร์ 2 หรือเลเยอร์ 3 ไปยังอุปกรณ์ที่ได้รับผลกระทบ โดยการส่งแพ็คเก็ตนี้จะทำให้ทรัพยากรบัฟเฟอร์ของอุปกรณ์หมดลงจึงเกิดทำให้อุปกรณ์ขัดข้องและอาจส่งผลให้เกิดเงื่อนไขการปฏิเสธการให้บริการ หรือ DoS บนอุปกรณ์ ซึ่งอุปกรณ์จะต้องรีสตาร์ทเท่านั้นเพื่อจะทำให้สามารถกลับมาใช้งานได้อีกครั้ง

ช่องโหว่นี้จะส่งผลกระทบกับเราเตอร์ Cisco ASR ซีรีส์ 9000 ที่ใช้งานซอฟต์แวร์ Cisco IOS XR รุ่นก่อนหน้า 6.7.2 หรือ 7.1.2

ผู้ดูแลระบบควรทำการอัปเดตซอฟต์แวร์ Cisco IOS XR เป็นเวอร์ชัน 6.7.2 ขึ้นไปและเวอร์ชัน 7.1.2 ขึ้นไปหรือเวอร์ชันล่าสุดเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบด้วยช่องโหว่นี้

ที่มา: threatpost | cisco

Cisco ออกเเพตซ์เเก้ไขช่องโหว่ในผลิตภัณฑ์ Webex, IP Camera และ ISE

Cisco ได้ออกเเพตซ์อัปเดตความปลอดภัยเพื่อเเก้ไขช่องโหว่ระดับ high-severity จำนวน 3 รายการที่อยู่ในผลิตภัณฑ์ Webex video conferencing system, Video Surveillance 8000 Series IP Camera และ Identity Services Engine (ISE) ของ Cisco โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่ในผลิตภัณฑ์ Video Surveillance 8000 Series IP Cameras ถูกติดตามด้วยรหัส CVE-2020-3544 (CVSSv3: 8.8/10) ช่องโหว่นี้เกิดจากการตรวจสอบที่ขาดหายไปเมื่อ IP camera ประมวลผลแพ็กเก็ต Cisco Discovery Protocol ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยส่งแพ็กเก็ต Cisco Discovery Protocol ที่เป็นอันตรายไปยังอุปกรณ์ที่มีช่องโหว่ ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถรันโค้ดบน IP camera หรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บน IP camera โดยช่องโหว่นี้จะส่งผลกระทบต่อ IP camera ที่ใช้เฟิร์มแวร์รุ่นก่อนหน้ารุ่น 1.0.9-5
ช่องโหว่ผลิตภัณฑ์ Cisco Webex Teams ถูกติดตามด้วยรหัส CVE-2020-3535 (CVSSv3: 7.8/10) ช่องโหว่เกิดจากการจัดการพาธไดเร็กทอรีที่ไม่ถูกต้องในขณะทำงาน ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการวางไฟล์ DLL ที่เป็นอันตรายในตำแหน่งเฉพาะบนระบบของเป้าหมาย โดยไฟล์นี้จะทำงานเมื่อแอปพลิเคชันที่มีช่องโหว่เปิดตัว เมื่อผู้โจมตีสามารถใช้ช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่รับอนุญาตด้วยสิทธิ์ของบัญชีผู้ใช้รายอื่น ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อ Cisco Webex Teams สำหรับ Windows รุ่น 3.0.13464.0 ถึง 3.0.16040.0 และช่องโหว่นี้จะไม่ส่งผลกระทบต่อ Webex Teams สำหรับ Android, Mac หรือ iPhone และ iPad
ช่องโหว่ผลิตภัณฑ์ Cisco Identity Services Engine (ISE) ถูกติดตามด้วยรหัส CVE-2020-3467 (CVSSv3: 7.7/10) ช่องโหว่นี้เกิดจากการบังคับใช้ Role-Based Access Control (RBAC) อย่างไม่เหมาะสมภายในเว็บอินเทอร์เฟซการจัดการระบบ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่ได้รับผลกระทบ เมื่อผู้โจมตีประสบความสำเร็จในการใช้ช่องโหว่ ผู้โจมตีสามารถปรับเปลี่ยนบางส่วนของค่าคอนฟิกได้ เช่นทำการปรับเปลี่ยนการอนุญาตให้อุปกรณ์ที่ไม่ได้รับอนุญาตเข้าสู่เครือข่ายหรือทำการบล็อกไม่ให้อุปกรณ์ที่ได้รับอนุญาตเข้าถึงเครือข่าย
ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบแพตซ์และทำการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : threatpost