Cisco ประกาศแพตช์ช่องโหว่ร้ายแรงให้ผู้ใช้งาน IOS แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์ช่วงครึ่งปีหลังในส่วนของ Software Security Advisory ซึ่งจะเกิดขึ้นในพุธสุดท้ายของเดือนมีนาคมและกันยายนของทุกปี โดยครั้งนี้มีแพตช์ที่น่าสนใจเกิดขึ้นในส่วน IOx Application Environment ของซอฟต์แวร์ IOS

Credit: Visual Generation/ShutterStock

ช่องโหว่ร้ายแรงหมายเลข CVE-2019-12648 (ความรุนแรง 9.9/10) ส่งผลกระทบกับผู้ใช้งาน Connected Grid Router(CGR) รุ่น 1000 และ Industrial Integrated Services Router ซีรี่ส์ 8000 ที่ติดตั้ง Guest OS โดยมีบั๊กในส่วนของ Role-based access control (RBAC) ทำให้ผู้ใช้งานที่มีสิทธิ์ระดับต่ำสามารถเข้าถึง Guest OS ในสิทธิ์ระดับ Root ได้ อย่างไรก็ตามประเด็นที่น่ากังวลคือตามปกติ Guest OS นั้นถูกรวมมาใน IOS image อยู่แล้วนั่นเอง ดังนั้นผู้ใช้งานจะสามารถตรวจสอบตัวเองได้ว่ามี Guest OS อยู่หรือไม่ด้วยคำสั่ง ‘Show iox host list’ (ตามภาพด้านล่าง)

credit : Bleepingcomputer

ทั้งนี้ทาง Cisco แนะนำให้ถอดการติดตั้ง Guest OS ด้วยคำสั่ง ‘guest-os image uninstall’ ในโหมด global config เคราะห์ดีที่ปัจจุบัน Cisco ชี้ว่ายังไม่พบการโจมตีด้วยช่องโหว่ดังกล่าว นอกจากนี้ยังมี Advisory ของช่องโหว่อีก 13 รายการที่นี่

ที่มา :  https://www.zdnet.com/article/cisco-warning-these-routers-running-ios-have-9-910-severity-security-flaw/ และ  https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-iox-flaw-allowing-root-access-to-guest-os/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้