Cisco ประกาศแพตช์สำหรับช่องโหว่รุนแรงสูงใน IOS XE ผู้โจมตีสามารถยึดอุปกรณ์ได้

Cisco ประกาศแพตช์แก้ไขช่องโหว่ใน IOS XE ซึ่งเป็นโปรแกรมที่ใช้ใน routers และ switches ของ Cisco โดยช่องโหว่ดังกล่าวได้รับหมายเลข CVE-2019-1904 เป็นช่องโหว่ประเภท cross-site request forgery (CSRF) ในหน้า web UI ของ Cisco IOS XE โดยได้คะแนน CVSS 3.0 อยู่ที่ 8.8/10 จัดเป็นช่องโหว่ที่มีความรุนแรงสูง

ผู้โจมตีสามารถโจมตีช่องโหว่ได้โดยหลอกให้ผู้ใช้งานที่ล็อกอินหน้า web UI ของ Cisco IOS XE กดเข้าไปยัง link อันตราย เนื่องจากหน้า web UI ของ Cisco IOS XE ไม่มีการป้องกัน CSRF ผู้โจมตีจะสามารถใช้งานหน้า web UI ของ Cisco IOS XEได้ตามสิทธิ์ของผู้ใช้งานที่หลงกด link ดังกล่าว ซึ่งในกรณีที่ผู้ใช้งานดังกล่าวมีสิทธิ์ administrative ผู้โจมตีจะสามารถยึดอุปกรณ์ดังกล่าวได้

โดย Cisco แนะนำเครื่องมือที่มีชื่อว่า Cisco IOS Software Checker เพื่อให้ผู้ใช้งานตรวจสอบว่ามีช่องโหว่บน IOS XE หรือไม่ สามารถเข้าได้ที่ https://tools.