CDIC 2023

Cisco แพตช์ช่องโหว่ลอบรันโค้ดบนเราเตอร์ RV110W, RV130W และ RV215W แนะควรอัปเดต

Cisco ได้ออกแพตช์แก้ไขช่องโหว่ร้ายแรงบนหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์รุ่น RV110W (Wireless-N VPN Firewall), RV130W (Wireless-N Multifuction VPN Router) และ RV215W (Wireless-N VPN Router) ซึ่งนำไปสู่การลอบรันโค้ดได้ ทั้งนี้ยังมีการแพตช์ช่องโหว่อีกรายการที่กระทบกับ Webx Meetings Desktop และ Webx Productivity Tool ด้วย

Credit: Visual Generation/ShutterStock

รายละเอียดของช่องโหว่มีดังนี้

  • CVE-2019-1663 ถูกจัดระดับความรุนแรง (CVSS 3.0) ที่ 9.8 เกิดกับหน้าอินเทอร์เฟสของเว็บที่ใช้จัดการเราเตอร์ 3 รุ่นคือ RV110W, RV130W และ RV215W โดยสาเหตุของช่องโหว่นั้นทาง Cisco กล่าวว่า “ตรวจเช็คข้อมูลที่ผู้ใช้ใส่เข้ามาในหน้าเว็บที่ใช้บริหารจัดการไม่ดีพอซึ่งทำให้คนร้ายสามารถส่ง HTTP Request อันตรายไปยังอุปกรณ์ซึ่งอาจนำไปสู่การลอบรันโค้ดบน OS ในสิทธิ์ผู้ใช้งานระดับสูง” อย่างไรก็ตามข่าวดีคือโดยปกติแล้วหน้าอินเทอร์เฟสบริหารจัดการจะเปิดใช้ใน Local เท่านั้นนั่นหมายถึงคนร้ายจะไม่สามารถลอบรันโค้ดผ่านทางไกลได้โดยพื้นฐาน (สามารถตรวจสอบได้ที่เมนู Basic Settings > Remote Management)
  • CVE-2019-1674 เป็นช่องโหว่บน Webx Meetings Desktop และ Webx Productivity Tool ที่เกิดจากการตรวจสอบพารามิเตอร์จากผู้ใช้งานไม่ดีเพียงพอทำให้คนร้ายสามารถใช้ช่องโหว่ได้ผ่านทางคำสั่งอัปเดตบริการที่ประดิษฐ์ขึ้นมาพิเศษ ผลลัพธ์คืออาจนำไปสู่การลอบรันโค้ดด้วยสิทธิ์ของระบบได้

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-rce-vulnerability-in-rv110w-rv130w-and-rv215w-routers/ และ https://www.scmagazine.com/home/security-news/vulnerabilities/cisco-patches-two-code-execution-vulnerabilities/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …