Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS ผู้ดูแลระบบควรอัปเดตทันที

Cisco ออกแพตช์อุดช่องโหว่ Zero-day บน IOS และ IOS XE Software ผู้ดูแลระบบควรอัปเดตทันที

ช่องโหว่ CVE-2023-20109 มีความรุนแรงตาม CVSS 6.6/10 เกิดขึ้นบน Cisco Group Encrypted Transport VPN (GET VPN) ซึ่งเป็นปัญหาจากกระบวนการทำ Validation บน Group Domain of Interpreation (GDOI) และโปรโตคอล G-IKEv2 ทำให้ผู้โจมตีสามารถทำ Arbitrary Code Execution บนอุปกรณ์ที่มีช่องโหว่ได้ ซึ่งอาจส่งผลให้สามารถเข้าควบคุมอุปกรณ์ได้ทันที หรืออาจโจมตีด้วย Denial of Service (DoS) ก็สามารถทำได้ โดยผู้โจมตีจะต้องมีกุญแจฝั่งผู้ดูแลระบบและ Group Member เสียก่อนจึงจะสามารถโจมตีได้ ทำให้ช่องโหว่นี้ไม่ได้มีความรุนแรงมากนัก

ช่องโหว่นี้กระทบในอุปกรณ์ Cisco ที่ใช้งาน IOS หรือ IOS XE software และเปิดใช้งาน GDOI หรือโปรโตคอล G-IKEv2 ส่วนผลิตภัณฑ์ Meraki ที่ใช้งาน IOS XR และ NX-OS ไม่ได้รับผลกระทบจากช่องโหว่นี้แต่อย่างใด ผู้ดูแลระบบควรทำการแพตช์อุปกรณ์โดยทันที เนื่องจากมีรายงานกลุ่มผู้ไม่หวังดีที่มุ่งเป้าโจมตีด้วยช่องโหว่นี้แล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-urges-admins-to-fix-ios-software-zero-day-exploited-in-attacks/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …