Cisco แพตช์ช่องโหว่ลอบรันโค้ดบนเราเตอร์ RV110W, RV130W และ RV215W แนะควรอัปเดต

Cisco ได้ออกแพตช์แก้ไขช่องโหว่ร้ายแรงบนหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์รุ่น RV110W (Wireless-N VPN Firewall), RV130W (Wireless-N Multifuction VPN Router) และ RV215W (Wireless-N VPN Router) ซึ่งนำไปสู่การลอบรันโค้ดได้ ทั้งนี้ยังมีการแพตช์ช่องโหว่อีกรายการที่กระทบกับ Webx Meetings Desktop และ Webx Productivity Tool ด้วย

Credit: Visual Generation/ShutterStock

รายละเอียดของช่องโหว่มีดังนี้

  • CVE-2019-1663 ถูกจัดระดับความรุนแรง (CVSS 3.0) ที่ 9.8 เกิดกับหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์ 3 รุ่นคือ RV110W, RV130W และ RV215W โดยสาเหตุของช่องโหว่นั้นทาง Cisco กล่าวว่า “ตรวจเช็คข้อมูลที่ผู้ใช้ใส่เข้ามาในหน้าเว็บที่ใช้บริหารจัดการไม่ดีพอซึ่งทำให้คนร้ายสามารถส่ง HTTP Request อันตรายไปยังอุปกรณ์ซึ่งอาจนำไปสู่การลอบรันโค้ดบน OS ในสิทธิ์ผู้ใช้งานระดับสูง” อย่างไรก็ตามข่าวดีคือโดยปกติแล้วหน้าอินเทอร์เฟสบริหารจัดการจะเปิดใช้ใน Local เท่านั้นนั่นหมายถึงคนร้ายจะไม่สามารถลอบรันโค้ดผ่านทางไกลได้โดยพื้นฐาน (สามารถตรวจสอบได้ที่เมนู Basic Settings > Remote Management)
  • CVE-2019-1674 เป็นช่องโหว่บน Webx Meetings Desktop และ Webx Productivity Tool ที่เกิดจากการตรวจสอบพารามิเตอร์จากผู้ใช้งานไม่ดีเพียงพอทำให้คนร้ายสามารถใช้ช่องโหว่ได้ผ่านทางคำสั่งอัปเดตบริการที่ประดิษฐ์ขึ้นมาพิเศษ ผลลัพธ์คืออาจนำไปสู่การลอบรันโค้ดด้วยสิทธิ์ของระบบได้

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-rce-vulnerability-in-rv110w-rv130w-and-rv215w-routers/ และ https://www.scmagazine.com/home/security-news/vulnerabilities/cisco-patches-two-code-execution-vulnerabilities/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย

Veeam Availability Orchestrator v2 ออกแล้ว! พร้อมตอบโจทย์การทำ DR ในทุกองค์กร

Veeam ได้ประกาศออก Availability Orchestrator v2 แล้วซึ่งเปิดตัวเวอร์ชันแรกไปในปี 2018 โดยเวอร์ชันใหม่มีการเพิ่มขีดความสามารถให้ใช้งานได้ง่ายและรองรับการทำ DR ให้กับทุกองค์กร