Cisco แพตช์ช่องโหว่รุนแรงสูงบน IOS XE แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์อุดช่องโหว่ระดับรุนแรงสูงบนซอฟต์แวร์ IOS XE ซึ่งเป็นช่องโหว่ Cross-site request forgery (CSRF) บน Web UI ที่ทำให้คนร้ายสามารถเข้าไปปฏิบัติการอันตรายในระดับสิทธิ์ของเหยื่อที่กำลังล็อกอินใช้งานได้

Credit: Visual Generation/ShutterStock

ช่องโหว่หมายเลขอ้างอิง CVE-2019-1904 ถูกตั้งระดับความรุนแรงไว้ที่ 8.8/10 โดย Cisco กล่าวใน Advisory ว่า “กระบวนการป้องกัน CSRF ทำได้ไม่ดีเพียงพอบน web UI ในอุปกรณ์ที่ได้รับผลกระทบซึ่งคนร้ายสามารถล่อลวงผู้ใช้ด้วยลิงก์อันตรายเพื่อทำให้เกิดการใช้งานช่องโหว่ได้” หากทำได้สำเร็จคนร้ายจะสามารถเข้าไปปฏิบัติการอันตรายบนอุปกรณ์ที่ได้รับผลกระทบในระดับสิทธิ์ของเหยื่อรายนั้น ทั้งนี้ช่องโหว่จะมีโอกาสเกิดกับระบบที่มีฟีเจอร์ HTTP Server รันอยู่แต่ซอฟต์แวร์บางเวอร์ชันอาจไม่ได้เปิดฟีเจอร์นี้ไว้เป็นค่าพื้นฐาน ดังนั้นหมายความว่าช่องโหว่อาจปรากฏในซอฟต์แวร์หลายเวอร์ชัน

สำหรับการตรวจสอบ Cisco ได้แนะนำเครื่องมือที่ชื่อ Software Checker เพื่อตรวจสอบช่องโหว่ต่างๆ บน IOS XE ไม่ได้จำกัดแค่ช่องโหว่นี้ (เป็นหน้าเว็บใส่ข้อมูลตรวจสอบไม่ต้องติดตั้งอะไร) อย่างไรก็ดีผู้ใช้งานที่ได้รับผลกระทบสามารถใช้คำสั่งปิดฟีเจอร์ HTTP Server เพื่อบรรเทาปัญหาได้คือ ‘no ip http server’ หรือ ‘no ip http secure-server’ ในหน้า Global config และหากพบว่ามีการเปิดทั้ง http server และ http-secure server ก็ต้องปิดทั้ง 2 ตัว แต่หากเป็นไปได้ทาง Cisco ได้แนะนำให้อัปเดตแพตช์ครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/cisco-ios-xe-software-receives-fix-against-high-severity-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

การไม่ใช้หมึกแท้อาจสร้างความเสียหายให้พรินเตอร์ ธุรกิจควรเลือกซื้อหมึกอย่างไรให้ปลอดภัยและคุ้มค่า?

ในบทความนี้เราจะพาทุกท่านไปทำความเข้าใจกับสถานการณ์ของ "หมึกพรีเมี่ยม" ที่กำลังแพร่ระบาดทั่วไทย และความเสี่ยงหรือผลเสียของการใช้หมึกพรีเมี่ยมเหล่านี้ เพื่อให้ทุกท่านได้มีข้อมูลสำหรับประกอบการตัดสินใจเลือกใช้งานกันครับ

โอกาสของไทยในการก้าวสู่การเป็นผู้นำด้าน Digital กับความร่วมมือที่ต้องเกิดขึ้นจากทุกภาคส่วน

ในงานสัมมนา Powering Digital Thailand 2022 – HUAWEI CLOUD & CONNECT เหล่าผู้นำระดับประเทศ, ธุรกิจองค์กรชั้นนำ, องค์กรนานาชาติ และทาง Huawei นั้นได้มาร่วมกันแสดงวิสัยทัศน์ถึงความเป็นไปได้และโอกาสที่ไทยจะก้าวสู่การเป็นผู้นำทางด้าน Digital จากหลากหลายแง่มุมด้วยกัน