Cisco แพตช์ช่องโหว่รุนแรงสูงบน IOS XE แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์อุดช่องโหว่ระดับรุนแรงสูงบนซอฟต์แวร์ IOS XE ซึ่งเป็นช่องโหว่ Cross-site request forgery (CSRF) บน Web UI ที่ทำให้คนร้ายสามารถเข้าไปปฏิบัติการอันตรายในระดับสิทธิ์ของเหยื่อที่กำลังล็อกอินใช้งานได้

Credit: Visual Generation/ShutterStock

ช่องโหว่หมายเลขอ้างอิง CVE-2019-1904 ถูกตั้งระดับความรุนแรงไว้ที่ 8.8/10 โดย Cisco กล่าวใน Advisory ว่า “กระบวนการป้องกัน CSRF ทำได้ไม่ดีเพียงพอบน web UI ในอุปกรณ์ที่ได้รับผลกระทบซึ่งคนร้ายสามารถล่อลวงผู้ใช้ด้วยลิงก์อันตรายเพื่อทำให้เกิดการใช้งานช่องโหว่ได้” หากทำได้สำเร็จคนร้ายจะสามารถเข้าไปปฏิบัติการอันตรายบนอุปกรณ์ที่ได้รับผลกระทบในระดับสิทธิ์ของเหยื่อรายนั้น ทั้งนี้ช่องโหว่จะมีโอกาสเกิดกับระบบที่มีฟีเจอร์ HTTP Server รันอยู่แต่ซอฟต์แวร์บางเวอร์ชันอาจไม่ได้เปิดฟีเจอร์นี้ไว้เป็นค่าพื้นฐาน ดังนั้นหมายความว่าช่องโหว่อาจปรากฏในซอฟต์แวร์หลายเวอร์ชัน

สำหรับการตรวจสอบ Cisco ได้แนะนำเครื่องมือที่ชื่อ Software Checker เพื่อตรวจสอบช่องโหว่ต่างๆ บน IOS XE ไม่ได้จำกัดแค่ช่องโหว่นี้ (เป็นหน้าเว็บใส่ข้อมูลตรวจสอบไม่ต้องติดตั้งอะไร) อย่างไรก็ดีผู้ใช้งานที่ได้รับผลกระทบสามารถใช้คำสั่งปิดฟีเจอร์ HTTP Server เพื่อบรรเทาปัญหาได้คือ ‘no ip http server’ หรือ ‘no ip http secure-server’ ในหน้า Global config และหากพบว่ามีการเปิดทั้ง http server และ http-secure server ก็ต้องปิดทั้ง 2 ตัว แต่หากเป็นไปได้ทาง Cisco ได้แนะนำให้อัปเดตแพตช์ครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/cisco-ios-xe-software-receives-fix-against-high-severity-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Collaboration Platform: หัวใจสำคัญสำหรับการทำ Digital Transformation ของธุรกิจหลากหลายอุตสาหกรรม

ทีมงาน TechTalkThai ได้มีโอกาสพูดคุยกับคุณสาธิต พันธ์ไพศาล ผู้ดำรงตำแหน่ง Country Manager แห่ง Alcatel-Lucent Enterprise Thailand ถึงประเด็นเรื่องแนวโน้มด้านการทำ Digital Transformation ของธุรกิจไทยและในเอเชียตะวันออกเฉียงใต้ ที่หลายธุรกิจนั้นต้องเริ่มสร้าง Collaboration Platform สำหรับใช้เป็นช่องทางในการสื่อสารทั้งภายในองค์กรและกับลูกค้าภายนอกองค์กรขึ้นมาเอง เพื่อควบคุมการสร้างประสบการณ์ในการสื่อสารและให้บริการที่ดี รวมถึงตอบโจทย์ด้าน Data Privacy ที่กำลังกลายเป็นประเด็นสำคัญในหลายๆ ประเทศในยามนี้

[Guest Post] โปรโมชั่น Veritas Backup Exec (VBE) “Cheaper price Guarantee”

Veritas จัดโปรโมชั่นพิเศษสุดๆ รับประกันถูกชัวร์ 100% สำหรับลูกค้าทุกท่าน เพียงนำใบเสนอราคาหรือ PO ของคู่แข่ง มาแลกซื้อ Backup Exec แบบ Capacity Edition หรือ V-Ray Edition ได้ในราคาต่ำกว่า คู่แข่ง อย่างต่ำ 100 บาท จากตัวแทนจำหน่าย ที่ร่วมรายการ **** ฟรี ติดตั้ง Backup Exec แบบรีโมท **** **** ฟรี บริการ ถาม-ตอบ ปัญหาด้านเทคนิค โดยตรงกับผู้เชี่ยวขาญคนไทย