Cisco แพตช์ช่องโหว่รุนแรงสูงบน IOS XE แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์อุดช่องโหว่ระดับรุนแรงสูงบนซอฟต์แวร์ IOS XE ซึ่งเป็นช่องโหว่ Cross-site request forgery (CSRF) บน Web UI ที่ทำให้คนร้ายสามารถเข้าไปปฏิบัติการอันตรายในระดับสิทธิ์ของเหยื่อที่กำลังล็อกอินใช้งานได้

Credit: Visual Generation/ShutterStock

ช่องโหว่หมายเลขอ้างอิง CVE-2019-1904 ถูกตั้งระดับความรุนแรงไว้ที่ 8.8/10 โดย Cisco กล่าวใน Advisory ว่า “กระบวนการป้องกัน CSRF ทำได้ไม่ดีเพียงพอบน web UI ในอุปกรณ์ที่ได้รับผลกระทบซึ่งคนร้ายสามารถล่อลวงผู้ใช้ด้วยลิงก์อันตรายเพื่อทำให้เกิดการใช้งานช่องโหว่ได้” หากทำได้สำเร็จคนร้ายจะสามารถเข้าไปปฏิบัติการอันตรายบนอุปกรณ์ที่ได้รับผลกระทบในระดับสิทธิ์ของเหยื่อรายนั้น ทั้งนี้ช่องโหว่จะมีโอกาสเกิดกับระบบที่มีฟีเจอร์ HTTP Server รันอยู่แต่ซอฟต์แวร์บางเวอร์ชันอาจไม่ได้เปิดฟีเจอร์นี้ไว้เป็นค่าพื้นฐาน ดังนั้นหมายความว่าช่องโหว่อาจปรากฏในซอฟต์แวร์หลายเวอร์ชัน

สำหรับการตรวจสอบ Cisco ได้แนะนำเครื่องมือที่ชื่อ Software Checker เพื่อตรวจสอบช่องโหว่ต่างๆ บน IOS XE ไม่ได้จำกัดแค่ช่องโหว่นี้ (เป็นหน้าเว็บใส่ข้อมูลตรวจสอบไม่ต้องติดตั้งอะไร) อย่างไรก็ดีผู้ใช้งานที่ได้รับผลกระทบสามารถใช้คำสั่งปิดฟีเจอร์ HTTP Server เพื่อบรรเทาปัญหาได้คือ ‘no ip http server’ หรือ ‘no ip http secure-server’ ในหน้า Global config และหากพบว่ามีการเปิดทั้ง http server และ http-secure server ก็ต้องปิดทั้ง 2 ตัว แต่หากเป็นไปได้ทาง Cisco ได้แนะนำให้อัปเดตแพตช์ครับ

ที่มา :  https://www.bleepingcomputer.com/news/security/cisco-ios-xe-software-receives-fix-against-high-severity-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google เตรียมปิดตัว Hangouts ปลายปีนี้

Google เตรียมปิดตัว Hangouts ปลายปีนี้ ให้ผู้ใช้งานย้ายไปใช้ Google Chat

Microsoft Exchange Server 2013 จะสิ้นสุดการสนับสนุนปี 2023

ช่วงนี้มีแต่ข่าว ลด ละ เลิก บนผลิตภัณฑ์ของ Microsoft ครานี้ถึงชะตาของ Exchange Server 2013 จากการประกาศล่าสุดเกี่ยวกับการสิ้นสุดการสนับสนุนซึ่งแจ้งไว้ล่วงหน้าเกือบปีในวันที่ 11 เมษายน 2023 ซึ่งจะเป็นวันสุดท้าย