Black Hat Asia 2023

เตือนภัย! พบการใช้งานช่องโหว่บน Cisco ASA และ Firepower Threat Defense

ผู้เชี่ยวชาญจาก Tenable ได้แจ้งเตือนพบคนร้ายใช้ช่องโหว่บนอุปกรณ์ Cisco ASA และ Firepower หลังนักวิจัยจาก Positive Technologies ได้เปิดเผยโค้ดสาธิต

ช่องโหว่ CVE-2020-3580 เป็นช่องโหว่ Cross-site Scripting (XSS) ที่ผู้เชี่ยวชาญเผยว่าคนร้ายจะสามารถใช้เพื่อหลอกให้ผู้ใช้งานคลิกลิงก์อันตรายเพื่อ Execute JavaScript ในบราวน์เซอร์ได้ โดยถูกเปิดเผยและแพตช์ครั้งแรกเมื่อตุลาคมปีก่อน แต่แพตช์นั้นแก้ไขได้ไม่สมบูรณ์ทำให้ต้องมีการอัปเดตอีกครั้งเมื่อเมษายนที่ผ่านมา ซึ่งเมื่อนักวิจัยคิดว่าผ่านระยะเวลาอันสมควรแล้วทีมงาน Positive Technologies จึงได้เผยโค้ดสาธิตไว้บนทวิตเตอร์ หลังจากนั้นเพียงไม่นาน Tenable ก็ได้รายงานพบการใช้ช่องโหว่ดังกล่าว 

ด้วยเหตุนี้เองจึงขอเตือนให้ผู้ใช้งานตรวจสอบการอัปเดตแพตช์นี้ที่ https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZe#fs 

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-asa-vulnerability-actively-exploited-after-exploit-released/ และ https://www.securityweek.com/xss-vulnerability-cisco-security-products-exploited-wild


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …