พบช่องโหว่ความรุนแรงระดับสูงสุดบน SSL VPN ใน Cisco ASA และ Firepower แนะ Patch ด่วน

Cisco ได้ออก Patch มาแก้ไขช่องโหว่บนระบบ SSL VPN ของ Cisco Adaptive Security Appliance และ Firepower Threat Defense Software โดยช่องโหว่นี้ได้รับคะแนน CVSS เต็ม 10 คะแนน หมายความว่าเป็นช่องโหว่ที่มีความรุนแรงระดับสูงสุดนั่นเอง

 

Credit: Cisco

 

ช่องโหว่นี้จะสามารถถูกโจมตีได้จากการส่ง XML ที่สร้างขึ้นมาเป็นพิเศษมายัง Interface ที่ตั้งใช้งาน webvpn เอาไว้บนระบบที่มีช่องโหว่ และทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งเพื่อเข้ายึดระบบได้ รวมถึงสั่ง Reload อุปกรณ์ได้ โดยวิธีการแก้ไขนั้นก็คือการ Patch อุปกรณ์ให้ใช้ Software รุ่นล่าสุดเท่านั้น

รายการของผลิตภัณฑ์ที่ได้รับผลกระทบ มีดังนี้

  • 3000 Series Industrial Security Appliance (ISA)
  • ASA 5500 Series Adaptive Security Appliances
  • ASA 5500-X Series Next-Generation Firewalls
  • ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  • ASA 1000V Cloud Firewall
  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Security Appliance
  • Firepower 4110 Security Appliance
  • Firepower 9300 ASA Security Module
  • Firepower Threat Defense Software (FTD)

สำหรับรายละเอียดฉบับเต็มเกี่ยวกับช่องโหว่นี้สามารถอ่านได้ที่ https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1 ครับ

 

ที่มา: https://www.theregister.co.uk/2018/01/30/cisco_asa_and_firepower_cvss_10_0_bug_patch_asap/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปิดตัว Microsoft Research Open Data แจกฟรี Dataset ผ่าน Cloud

Microsoft ออกมาประกาศเปิดตัวโครงการ Microsoft Research Open Data เพื่อแบ่งปันข้อมูลที่ Microsoft มีอยู่ผ่านทาง Cloud เพื่อให้นำไปใช้วิเคราะห์และทดลองเรียนรู้จากข้อมูลดังกล่าวได้

Supermicro จับมือ Red Hat ทำลายสถิติโลก ประมวลผลด้านการเงินเร็วสูงสุด

Supermicro, Red Hat และ Solarflare ได้ออกมาประกาศร่วมกันถึงความสำเร็จในการทำลายสถิติโลกด้านระบบประมวลผลทางด้านการเงินที่มี Latency ต่ำที่สุดใน STAC-N1 Benchmark อย่างเป็นทางการ