Cisco ออกแพตช์แก้ไขช่องโหว่ Command Injection ใน Identity Services Engine (ISE) ที่อาจถูกโจมตีเพื่อยกระดับสิทธิ์เป็น root ปัจจุบันมีโค้ดสาธิตเผยแพร่แล้ว
ช่องโหว่ดังกล่าวมีรหัส CVE-2024-20469 พบใน Cisco Identity Services Engine (ISE) ซึ่งเป็นซอฟต์แวร์ควบคุมการเข้าถึงเครือข่ายและบังคับใช้นโยบายสำหรับองค์กร สาเหตุเกิดจากการตรวจสอบข้อมูลที่ผู้ใช้ป้อนเข้ามาไม่รัดกุมเพียงพอ ทำให้ผู้โจมตีสามารถส่งคำสั่ง CLI ที่ถูกดัดแปลงเพื่อยกระดับสิทธิ์เป็น root ได้ อย่างไรก็ตาม ผู้โจมตีจำเป็นต้องมีสิทธิ์ Administrator อยู่แล้วในระบบที่ยังไม่ได้แก้ไข
Cisco ได้เปิดเผยรายละเอียดเวอร์ชันที่ได้รับการแก้ไขแล้วดังนี้:
- ISE 3.1 และเก่ากว่า – ไม่ได้รับผลกระทบ
- ISE 3.2 – แก้ไขในเวอร์ชัน 3.2P7 (Sep 2024)
- ISE 3.3 – แก้ไขในเวอร์ชัน 3.3P4 (Oct 2024)
- ISE 3.4 – ไม่ได้รับผลกระทบ
ทั้งนี้ Cisco ยังไม่พบหลักฐานการโจมตีโดยใช้ช่องโหว่นี้ในระบบจริง นอกจากนี้ บริษัทยังได้ประกาศแก้ไขช่องโหว่อื่นๆ เช่น การลบบัญชี backdoor ใน Smart Licensing Utility สำหรับ Windows และการแก้ไขช่องโหว่ใน Integrated Management Controller (IMC) ที่อนุญาตให้ยกระดับสิทธิ์เป็น root ได้เช่นกัน
ที่มา: BleepingComputer