Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

ช่องโหว่ CVE-2023-20109 มีความรุนแรงตาม CVSS 6.6/10 เกิดขึ้นบน Cisco Group Encrypted Transport VPN (GET VPN) ซึ่งเป็นปัญหาจากกระบวนการทำ Validation บน Group Domain of Interpreation (GDOI) และโปรโตคอล G-IKEv2 ทำให้ผู้โจมตีสามารถทำ Arbitrary Code Execution บนอุปกรณ์ที่มีช่องโหว่ได้ ซึ่งอาจส่งผลให้สามารถเข้าควบคุมอุปกรณ์ได้ทันที หรืออาจโจมตีด้วย Denial of Service (DoS) ก็สามารถทำได้ โดยผู้โจมตีจะต้องมีกุญแจฝั่งผู้ดูแลระบบและ Group Member เสียก่อนจึงจะสามารถโจมตีได้ ทำให้ช่องโหว่นี้ไม่ได้มีความรุนแรงมากนัก

ช่องโหว่นี้กระทบในอุปกรณ์ Cisco ที่ใช้งาน IOS หรือ IOS XE software และเปิดใช้งาน GDOI หรือโปรโตคอล G-IKEv2 ส่วนผลิตภัณฑ์ Meraki ที่ใช้งาน IOS XR และ NX-OS ไม่ได้รับผลกระทบจากช่องโหว่นี้แต่อย่างใด ผู้ดูแลระบบควรทำการแพตช์อุปกรณ์โดยทันที เนื่องจากมีรายงานกลุ่มผู้ไม่หวังดีที่มุ่งเป้าโจมตีด้วยช่องโหว่นี้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-urges-admins-to-fix-ios-software-zero-day-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …