Advertisement

Cisco ออกแพทช์อุดช่องโหว่ความรุนแรงระดับ Critical บนระบบ Wireless

Cisco ผู้ให้บริการโซลูชันระบบเครือข่ายและ Data Center แบบครบวงจร ออก Security Advisory สำหรับอุดช่องโหว่การบายพาสการพิสูจน์ตัวตนบน Cisco Mobility Express 1800 AP Series และช่องโหว่การสวมรอยเป็น Wireless LAN Controller เมื่อเชื่อมต่อกันแบบ Mesh แนะให้ผู้ดูแลระบบอัปเดตแพทช์โดยเร็ว

Credit: Visual Generation/ShutterStock

ช่องโหว่แรกเป็นช่องโหว่ความรุนแรงระดับ Critical มีรหัส CVE-2017-2831 ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้าง HTTP Request แบบพิเศษสำหรับใช้บายผ่านการพิสูจน์ตัวตนผ่าน Web-based GUI บน Cisco Mobility Express 1800 AP Series ได้ และได้สิทธิ์เป็น Admin โดยไม่ต้องพิสูน์ตัวตนแต่อย่างใด

ช่องโหว่นี้ส่งผลกระทบเฉพาะ Cisco Mobility Express 1800 AP Series ที่รันซอฟต์แวร์เวอร์ชัน 8.2.110.0 หรือก่อนหน้านั้น แนะนำให้ผู้ดูแลระบบอัปเดตซอฟต์แวร์เป็นเวอร์ชัน 8.2.130.0 ล่าสุดทันที

อีกช่องโหว่หนึ่งเป็นช่องโหว่ความรุนแรงระดับ High มีรหัส CVE-2017-3854 ซึ่งเป็นช่องโหว่บนโค้ดฟังก์ชัน Mesh บนซอฟต์แวร์ Cisco Wireless LAN Controller (WLC) ช่องโหว่นี้ช่วยให้แฮ็คเกอร์สามารถบังคับให้ AP ยกเลิกการติดต่อกับ WLC แล้วหันไปเชื่อมต่อกับ Rouge AP ของแฮ็คเกอร์แทน

ผลิตภัณฑ์ที่ได้รับผลกระทบเมื่อเชื่อมต่อกันแบบ Mesh ได้แก่ Cisco 8500 Series Wireless Controller, 5500 Series Wireless Controller, 2500 Series Wireless Controller, Flex 7500 Series Wireless Controller, Virtual Wireless Controller และ Wireless Services Module 2 (WiSM2) สำหรับเวอร์ชันที่ได้รับผลกระทบคือ เวอร์ชัน 8.1 หรือต่ำกว่านั้น แนะนำให้อัปเกรดไปใช้เวอร์ชัน 8.0.140.0 หรือ 8.2 แทน


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

IBM เปิดตัว Platform ซื้อขายน้ำมันดิบบน Blockchain

ช่วงนี้เรียกได้ว่า Blockchain มี Application ใหม่ออกมาทุกวัน ในครั้งนี้ IBM ได้จับมือกับ Trafigura และ Natixis เพื่อสร้าง Crude Oil Trade …

TechTalk Webinar: วิดีโอย้อนหลังเรื่อง “Intelligence-led Security” โดย FireEye ประเทศไทย

สำหรับผู้ที่ไม่ได้เข้าชมการบรรยาย TechTalk Webinar เรื่อง “Intelligence-led Security: How FireEye Transforms Security Operations” โดย FireEye ประเทศไทย ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา …