Cisco แพตช์ช่องโหว่ลอบรันโค้ดบนเราเตอร์ RV110W, RV130W และ RV215W แนะควรอัปเดต

Cisco ได้ออกแพตช์แก้ไขช่องโหว่ร้ายแรงบนหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์รุ่น RV110W (Wireless-N VPN Firewall), RV130W (Wireless-N Multifuction VPN Router) และ RV215W (Wireless-N VPN Router) ซึ่งนำไปสู่การลอบรันโค้ดได้ ทั้งนี้ยังมีการแพตช์ช่องโหว่อีกรายการที่กระทบกับ Webx Meetings Desktop และ Webx Productivity Tool ด้วย

Credit: Visual Generation/ShutterStock

รายละเอียดของช่องโหว่มีดังนี้

  • CVE-2019-1663 ถูกจัดระดับความรุนแรง (CVSS 3.0) ที่ 9.8 เกิดกับหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์ 3 รุ่นคือ RV110W, RV130W และ RV215W โดยสาเหตุของช่องโหว่นั้นทาง Cisco กล่าวว่า “ตรวจเช็คข้อมูลที่ผู้ใช้ใส่เข้ามาในหน้าเว็บที่ใช้บริหารจัดการไม่ดีพอซึ่งทำให้คนร้ายสามารถส่ง HTTP Request อันตรายไปยังอุปกรณ์ซึ่งอาจนำไปสู่การลอบรันโค้ดบน OS ในสิทธิ์ผู้ใช้งานระดับสูง” อย่างไรก็ตามข่าวดีคือโดยปกติแล้วหน้าอินเทอร์เฟสบริหารจัดการจะเปิดใช้ใน Local เท่านั้นนั่นหมายถึงคนร้ายจะไม่สามารถลอบรันโค้ดผ่านทางไกลได้โดยพื้นฐาน (สามารถตรวจสอบได้ที่เมนู Basic Settings > Remote Management)
  • CVE-2019-1674 เป็นช่องโหว่บน Webx Meetings Desktop และ Webx Productivity Tool ที่เกิดจากการตรวจสอบพารามิเตอร์จากผู้ใช้งานไม่ดีเพียงพอทำให้คนร้ายสามารถใช้ช่องโหว่ได้ผ่านทางคำสั่งอัปเดตบริการที่ประดิษฐ์ขึ้นมาพิเศษ ผลลัพธ์คืออาจนำไปสู่การลอบรันโค้ดด้วยสิทธิ์ของระบบได้

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-rce-vulnerability-in-rv110w-rv130w-and-rv215w-routers/ และ https://www.scmagazine.com/home/security-news/vulnerabilities/cisco-patches-two-code-execution-vulnerabilities/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้