Breaking News

Cisco ออกแพตช์ร้ายแรงให้ DCNM และ SD-WAN แนะผู้ใช้เร่งอัปเดต

มีแพตช์อัปเดตใหม่จากทาง Cisco ให้ผลิตภัณฑ์ DCNM และ SD-WAN ซึ่งมีระดับร้ายแรง จึงแนะนำให้ผู้ใช้งานติดตามอัปเดตครับ

ช่องโหว่ที่น่าสนใจมีดังนี้

  • CVE-2020-3382 – เป็นช่องโหว่ระดับร้ายแรงใน DCNM ซึ่งเกิดขึ้นเพราะมีการแชร์ Static Encryption Key ในตัวติดตั้งที่แตกต่างกัน ทำให้คนร้ายสามารถใช้ Static Key ไปสร้างเป็น Session Token ผ่าน REST API ในสิทธิระดับผู้ดูแลได้ หรือกล่าวคือทำให้ Bypass การพิสูจน์ตัวตนและเข้าไปปฏิบัติการในสิทธิ์ระดับผู้ดูแล โดยผลกระทบคือ DCNM Appliance ที่ติดตั้งด้วย .OVA หรือ .ISO ใน release 11.0, 11.1, 11.2 และ 11.3 ต้องติดตามอัปเดตทั้งสิ้น
  • CVE-2020-3376 – เป็นช่องโหว่บน DCNM ซึ่งมีระดับความรุนแรงสูง ซึ่งทำให้คนร้ายที่ผ่านการพิสูจน์ตัวตนแล้วสามารถ inject คำสั่งจากทางไกลในสิทธิของผู้ใช้ที่ล็อกอินอยู่ ผ่านทาง REST API
  • CVE-2020-3374 – ช่องโหว่ร้ายแรงบนผลิตภัณฑ์ SD-WAN เกิดขึ้นบน Web UI ที่ใช้ในการบริการจัดการ เพราะระบบตรวจสอบการให้สิทธิ์ไม่ดีพอ จึงทำให้คนร้ายสามารถประดิษฐ์ HTTP Request เข้ามาโจมตีได้ ซึ่งนำไปสู่การเข้าถึงข้อมูลสำคัญและการแก้ไขค่าคอนฟิคได้
  • CVE-2020-3375 – ช่องโหว่ร้ายแรงที่ทำให้คนร้ายสามารถทำ Buffer Overflow ในอุปกรณ์ได้ เพื่อเข้าถึงข้อมูลสำคัญหรือเปลี่ยนแปลงระบบ ทั้งนี้สืบเนื่องจากระบบมีการตรวจสอบ Input ได้ไม่ดีพอ โดยผลิตภัณฑ์ที่เกี่ยวข้องคือ IOS XE SD-WAN Software, SD-WAN vBond Orchestrator Software, SD-WAN vEdge Cloud Routers, SD-WAN vEdge Routers, SD-WAN vManage Software และ SD-WAN vSmart Controller Software

ผู้สนใจสามารถติดตามรายละเอียดเพิ่มเติมได้ที่นี่ 

ที่มา :  https://www.networkworld.com/article/3569153/cisco-urges-patching-flaws-in-data-center-sd-wan-gear.html และ  https://www.securityweek.com/cisco-patches-serious-vulnerabilities-data-center-network-manager



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] ทำ Data Center Management ให้เป็นเรื่องง่ายด้วย Hitachi Ops Center

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Hitachi Vantara Webinar เรื่อง “ทำ Data Center Management ให้เป็นเรื่องง่ายด้วย Hitachi Ops Center” พร้อมแนะนำแนวทางปฏิบัติที่ดีที่สุดในการบริหารจัดการ Data …

[Video Webinar] Poly กับการสื่อสารสำหรับองค์กรในยุค New Normal

สำหรับผู้ที่ไม่ได้เข้าฟังบรรยาย Poly Webinar เรื่อง “Poly กับการสื่อสารสำหรับองค์กรในยุค New Normal” เพื่ออัปเดตแนวโน้มการติดต่อสื่อสารในยุค New Normal ภายใต้เงื่อนไขการเว้นระยะห่างทางสังคม (Social Distancing) ที่เคร่งครัด …