Cisco แพตช์ช่องโหว่ร้ายแรงให้ Switch รุ่น Small Business 220 แนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศแพตช์ช่องโหว่ร้ายแรง 2 รายการซึ่งสามารถใช้จากทางไกลได้และระดับปานกลางอีก 1 รายการ ให้กับผลิตภัณฑ์ Smart Switch Small Business ซีรี่ส์ 220 จึงแนะนำให้ผู้เกี่ยวข้องเร่งอัปเดต

Credit: Visual Generation/ShutterStock

ช่องโหว่ที่ Cisco ประกาศแพตช์มีดังนี้

  • CVE-2019-1912 (9.1/10) : เป็นช่องโหว่ที่ทำให้เกิดการ Bypass การพิสูจน์ตัวตนซึ่งอาจนำไปสู่การอัปโหลดไฟล์ไปยังอุปกรณ์ได้ หรือสามารถแทนที่ไฟล์ Config หรือทำ Reverse Shell ได้นั่นเอง
  • CVE-2019-1913 (9.8/10) : เป็นช่องโหว่ที่ทำให้เกิดการลอบรันโค้ดซึ่งอาจนำไปสู่การเข้ายึดอุปกรณ์ได้ด้วยการส่ง HTTP หรือ HTTPS Request ไปยังอุปกรณ์ปลายทาง
  • CVE-2019-1914 (7.2/10) : เป็นช่องโหว่ที่ทำให้ Command Injection แต่ต้องมีผ่านการพิสูจน์ตัวตนมาก่อน

ช่องโหว่ทั้ง 3 รายการเกิดกับ Web UI ซึ่งบริษัทได้ออกแพตช์มาให้ในเฟิร์มแวร์เวอร์ชัน 1.1.4.4 ดังนั้นผู้ใช้งานควรเข้าไปติดตามอัปเดตนะครับ เนื่องจากช่องโหว่นี้สามารถประยุกต์ใช้โจมตีแบบอัตโนมัติได้ด้วย อีกทั้ง Cisco ก็เป็นแบรนด์เป้าหมายยอดนิยมของแฮ็กเกอร์เช่นกัน

ที่มา :  https://www.zdnet.com/article/security-bugs-in-popular-cisco-switch-brand-allow-hackers-to-take-over-devices/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้