Cisco ออกเเพตซ์เเก้ไขช่องโหว่ในผลิตภัณฑ์ Webex, IP Camera และ ISE

Cisco ได้ออกเเพตซ์อัปเดตความปลอดภัยเพื่อเเก้ไขช่องโหว่ระดับ high-severity จำนวน 3 รายการที่อยู่ในผลิตภัณฑ์ Webex video conferencing system, Video Surveillance 8000 Series IP Camera และ Identity Services Engine (ISE) ของ Cisco โดยช่องโหว่ที่สำคัญมีรายละเอียดดังนี้

ช่องโหว่ในผลิตภัณฑ์ Video Surveillance 8000 Series IP Cameras ถูกติดตามด้วยรหัส CVE-2020-3544 (CVSSv3: 8.8/10) ช่องโหว่นี้เกิดจากการตรวจสอบที่ขาดหายไปเมื่อ IP camera ประมวลผลแพ็กเก็ต Cisco Discovery Protocol ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยส่งแพ็กเก็ต Cisco Discovery Protocol ที่เป็นอันตรายไปยังอุปกรณ์ที่มีช่องโหว่ ซึ่งช่องโหว่อาจทำให้ผู้โจมตีสามารถรันโค้ดบน IP camera หรือทำให้เกิดเงื่อนไขการปฏิเสธการให้บริการ (DoS) บน IP camera โดยช่องโหว่นี้จะส่งผลกระทบต่อ IP camera ที่ใช้เฟิร์มแวร์รุ่นก่อนหน้ารุ่น 1.0.9-5
ช่องโหว่ผลิตภัณฑ์ Cisco Webex Teams ถูกติดตามด้วยรหัส CVE-2020-3535 (CVSSv3: 7.8/10) ช่องโหว่เกิดจากการจัดการพาธไดเร็กทอรีที่ไม่ถูกต้องในขณะทำงาน ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยการวางไฟล์ DLL ที่เป็นอันตรายในตำแหน่งเฉพาะบนระบบของเป้าหมาย โดยไฟล์นี้จะทำงานเมื่อแอปพลิเคชันที่มีช่องโหว่เปิดตัว เมื่อผู้โจมตีสามารถใช้ช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดได้โดยไม่รับอนุญาตด้วยสิทธิ์ของบัญชีผู้ใช้รายอื่น ซึ่งช่องโหว่นี้จะส่งผลกระทบต่อ Cisco Webex Teams สำหรับ Windows รุ่น 3.0.13464.0 ถึง 3.0.16040.0 และช่องโหว่นี้จะไม่ส่งผลกระทบต่อ Webex Teams สำหรับ Android, Mac หรือ iPhone และ iPad
ช่องโหว่ผลิตภัณฑ์ Cisco Identity Services Engine (ISE) ถูกติดตามด้วยรหัส CVE-2020-3467 (CVSSv3: 7.7/10) ช่องโหว่นี้เกิดจากการบังคับใช้ Role-Based Access Control (RBAC) อย่างไม่เหมาะสมภายในเว็บอินเทอร์เฟซการจัดการระบบ ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยส่ง HTTP request ที่สร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์ที่ได้รับผลกระทบ เมื่อผู้โจมตีประสบความสำเร็จในการใช้ช่องโหว่ ผู้โจมตีสามารถปรับเปลี่ยนบางส่วนของค่าคอนฟิกได้ เช่นทำการปรับเปลี่ยนการอนุญาตให้อุปกรณ์ที่ไม่ได้รับอนุญาตเข้าสู่เครือข่ายหรือทำการบล็อกไม่ให้อุปกรณ์ที่ได้รับอนุญาตเข้าถึงเครือข่าย
ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบแพตซ์และทำการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : threatpost