Cisco ออกแพตช์อุดช่องโหว่ร้ายแรงให้ small business router แนะผู้ใช้ควรอัปเดต

เมื่อสัปดาห์ที่ผ่านมาทาง Cisco ผู้นำด้านตลาด Networking ได้ปล่อยแพตช์สำหรับอุดช่องโหว่ให้ Small business router ซึ่งมีช่องโหว่ร้ายแรงอยู่หลายรายการ จึงแนะนำให้ผู้ใช้งานอัปเดตกันด้วยครับ

ช่องโหว่ที่น่าสนใจมีดังนี้

  • CVE-2020-3330 – เป็นช่องโหว่ Small Business RV110W เกี่ยวกับบริการ Telnet เนื่องจาก System Account มี Default Password ทำให้อาจนำไปสู่การเข้ายึดเครื่องได้
  • CVE-2020-3323 – เป็นช่องโหว่ของ Small Business RV110W, RV130, RV130W และ RV215W ที่เกิดขึ้นในหน้า Management Portal ซึ่งทำให้คนร้ายอาจส่ง HTTP Request เข้ามาโจมตีเพื่อทำให้เกิดการลอบรันโค้ดในบริบทของ Root ได้
  • CVE-2020-3144 – เป็นช่องโหว่ของ Small Business RV110W, RV130, RV130W และ RV215W ซึ่งคนร้ายอาจ Bypass การพิสูจน์ตัวตนเข้ามาลอบรันคำสั่งของผู้ดูแลได้ เนื่องจากมีช่องโหว่ใน Management Portal
  • CVE-2020-3331 – เป็นช่องโหว่ที่กระทบกับ  Cisco RV110W Wireless-N VPN Firewall และ Cisco RV215W Wireless-N VPN router ซึ่งมีการจัดการ Input ได้ไม่ดีและนำไปสู่การลอบรันโค้ดในบริบทของ Root ได้
  • CVE-2020-3140 – ช่องโหว่ใน  Prime License Manager (PLM) เป็นช่องโหว่ยกระดับสิทธิ์เนื่องจากมีการจัดการ Input ได้ไม่ดีพอ

อย่างไรก็ดียังมีช่องโหว่ที่ร้ายแรงในแพตช์ชุดนี้อีกที่ส่งผลกระทบกับผลิตภัณฑ์เช่น Identity Services, email services, SD-Wan vManage and vEdge, WebEx Meeting และอื่นๆ ดังนั้นผู้เกี่ยวข้องควรอัปเดตครับ

ที่มา :  https://www.zdnet.com/article/cisco-releases-fixes-for-critical-vpn-router-vulnerabilities/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้