เชิญร่วมงานสัมมนา Rethink & Rebuild your Cyber Security Plan โดย AMR Asia

Cisco ออกแพตช์อุดช่องโหว่ร้ายแรงบน Webex และ IOS XE

Cisco ประกาศออกแพตช์อุดช่องโหว่ความรุนแรงระดับ High 2 รายการบนแพลตฟอร์ม Collaboration ยอดนิยมอย่าง Webex และผลิตภัณฑ์ที่ใช้ระบบปฏิบัติการ IOS และ IOS XE ซึ่งอาจช่วยให้แฮ็กเกอร์ลอบรันโค้ดแปลกปลอมจากระยะไกลได้ ดังนี้

Credit: Visual Generation/ShutterStock

CVE-2019-16005 – ช่องโหว่ Command Injection บน Web-based Management Interface ของ Cisco Webex Video Mesh ซึ่งมีสาเหตุมาจากการตรวจสอบ Input จากผู้ใช้ไม่ดีเพียงพอ ส่งผลให้แฮ็กเกอร์สามารถล็อกอินด้วยสิทธิ์ Admin และสั่งรันโค้ดแปลกปลอมบนระบบจากระยะไกลได้ ช่องโหว่นี้ส่งผลกระทบบน Cisco Webex Video Mesh เวอร์ชันก่อนหน้า 2019.09.19.1956m

รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-webex-video

CVE-2019-16009 – ช่องโหว่ Cross-site Request Forgery (CSRF) บน Web UI ของซอฟต์แวร์ IOS และ IOS XE ซึ่งช่วยให้แฮ็กเกอร์ลอบโจมตีจากระยะไกลโดยไม่ต้องพิสูจน์ตัวตนผ่านทางการส่ง Malicious Link ไปให้เหยื่อเพื่อดำเนินการแทน ถ้าเหยื่อมีสิทธิ์สูงอาจช่วยให้แฮ็กเกอร์ลอบเปลี่ยนการตั้งค่า รันคำสั่ง หรือรีสตาร์ทอุปกรณ์ได้ ช่องโหว่นี้ส่งผลกระทบบน IOS และ IOS XE เวอร์ชันก่อนหน้า 16.1.1 และเปิดใช้ฟีเจอร์ HTTP Server

รายละเอียดเกี่ยวกับช่องโหว่: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200108-ios-csrf

แนะนำให้ผู้ดูแลระบบรีบอัปเดตแพตช์โดยเร็ว



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่สามารถ Bypass 2FA ใน cPanel

cPanel น่าจะเป็นชื่อที่คุ้นหูกันบ้านในธุรกิจ Web Hosting ซึ่งวันนี้มีการเปิดเผยว่าค้นพบช่องโหว่ที่ช่วยให้คนร้ายสามารถ Bypass การป้องกันของ 2 Factors Authentication ได้

Splunk เข้าซื้อกิจการ Flowmill เสริมแกร่งเทคโนโลยีช่วยติดตามปัญหาด้าน Network

Splunk ได้ประกาศเข้าซื้อกิจการ Flowmill ซึ่งเป็นสตาร์ทอัพที่นำเสนอโซลูชันเพื่อช่วยติดตามปัญหาระดับเครือข่ายในบริการคลาวด์ อย่างไรก็ดีไม่มีการเปิดเผยถึงมูลค่าดังกล่าว