Cisco แพตช์อุดช่องโหว่ร้ายแรงบน Nexus 9000

Cisco ได้แพตช์อุดช่องโหว่หลายสิบรายการบนผลิตภัณฑ์ของตนที่ช่องโหว่ร้ายแรงหนึ่งเดียวในการแพตช์ครั้งนี้อยู่บน Nexus 9000 โดยช่องโหว่สามารถทำให้คนร้ายทำการเข้าถึงเครื่องในระดับสิทธิ์ Root ได้

Credit: Visual Generation/ShutterStock

ช่องโหว่ดังกล่าวมีหมายเลขอ้างอิงคือ CVE-2019-1804 และมีระดับความรุนแรงที่ 9.8 โดยเกิดกับส่วน Key Management ของ SSH คือคนร้ายสามารถเปิดการเชื่อมต่อ SSH ผ่าน IPv6 ไปยังอุปกรณ์ปลายทางได้โดยอาศัยความจริงที่ว่าอุปกรณ์มีการเก็บ Default SSH Key Pair เอาไว้ อย่างไรก็ตามจะส่งผลกระทบแค่ Nexus 9000 ที่อยู่ในโหมด ACI (Application Centric Infrastructure) และใช้ซอฟต์แวร์ NX-OS เวอร์ชันก่อน 14.1(1i) เท่านั้น ทั้งนี้ไม่มีการ Workaround จึงแนะนำให้ผู้เกี่ยวข้องรีบอัปเดตตาม Advisory

นอกจากนี้ Cisco ยังได้แพตช์ช่องโหว่ระดับรุนแรงสูงในอุปกรณ์อื่นๆ กว่า 20 รายการ เช่น Web Security Appliance (WSA), Umbrella Dashboard, Adaptive Security Appliance (ASA) และ Firepower Threat Defense software, เราเตอร์ RV320 และ RV325, IP Phone 7800/8800, Application Policy Infrastructure Controller (APIC) และ Nexus 9000

โดยช่องโหว่ข้างต้นมีผลกระทบ เช่น ยกระดับสิทธิ์, DoS, Hijack Session, Bypass การพิสูจน์ตัวตนของ Certificate, พบ Private Keys บนอุปกรณ์ และ สร้าง VPN Session เป็นต้น ดังนั้นผู้ใช้งานควรเข้าไปอัปเดตแพตช์ที่อุปกรณ์โดยติดตามเพิ่มเติมได้จากหน้าเว็บของ Cisco 

ที่มา :  https://www.securityweek.com/cisco-patches-critical-vulnerability-data-center-switches และ  https://www.scmagazine.com/home/security-news/cisco-tackles-critical-vulnerability-in-switch-software-41-other-bugs/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

MongoDB | AWS Webinar: ปลดปล่อยพลังข้อมูลของคุณ

MongoDB ร่วมกับ AWS ขอเรียนเชิญเหล่า Developer และสายงานด้าน Data เข้าร่วมงานสัมมนาออนไลน์เรื่อง "ปลดปล่อยพลังข้อมูลของคุณ" เพื่อเรียนรู้แนวทางปฏิบัติที่ดีที่สุดในการปรับใช้ MongoDB Atlas บน AWS และประโยชน์ที่จะได้รับ ในวันอังคารที่ 30 สิงหาคม 2022 เวลา 14:00 น. ผ่านทาง Live Webinar

[Guest Post] อเมซอน โกลบอล เซลลิ่ง ผลักดัน โครงการใหม่เพื่อเร่งการเติบโตอีคอมเมิร์ซข้ามพรมแดนในปี 2565 และกระตุ้นเศรษฐกิจไทย

บริษัทร่วมมือกับรัฐบาลไทย เพื่อเสริมสร้างความเข้มแข็งผู้ประกอบการขนาดกลาง ขนาดย่อม และรายย่อยให้ขยายฐานธุรกิจไปทั่วโลก เติบโต และกระตุ้นเศรษฐกิจไทย