Cisco เผยช่องโหว่ Zero-day บน AnyConnect Client แต่ยังไม่มีแพตช์อัปเดต

Cisco ได้เปิดเผยช่องโหว่ Zero-day ในซอฟต์แวร์ AnyConnect Secure Mobility Client แม้ปัจจุบันยังไม่มีแพตช์ออกมา

Credit: ShutterStock.com

ช่องโหว่ CVE-2020-3556 เป็นช่องโหว่ที่ช่วยให้คนร้ายระดับ Local ที่ไม่มีสิทธิ์สามารถรันสคิร์ปต์ในบริบทของผู้ใช้งานได้ โดยช่องโหว่เกิดขึ้นใน interprocess communication channel (IPC) ของ AnyConnect Client อย่างไรก็ดีการใช้ช่องโหว่ยังต้องมีปัจจัยประกอบ2 ส่วนคือ 1.) ต้องเปิด Auto Update (เป็นค่า Default) 2.) ต้องเปิด Scripting (ปกติปิดเอาไว้) ดังนั้นก็ดูเหมือนว่าการโจมตีช่องโหว่จะทำได้ไม่ง่าย ซึ่งช่องโหว่ยังส่งผลกระทบแค่กับ Windows, mac และ Linux เท่านั้น ไม่เกี่ยวกับ iOS และ Android

แม้ปัจจุบันยังไม่มีแพตช์ออกมา แต่ผู้ใช้งานสามารถบรรเทาปัญหาได้ด้วยการปิดทั้ง Auto Update และ Scripting โดยคาดว่าจะมีแพตช์ออกมาใน AnyConnect Client เวอร์ชันถัดไป

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-discloses-anyconnect-vpn-zero-day-exploit-code-available/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Google Cloud บังคับทำ MFA ทุกบัญชีภายในปี 2025

สำหรับผู้ที่ใช้งาน Google Cloud อาจจะมีขั้นตอนในการยืนยันตัวตนเพิ่มเติมอีกเล็กน้อย แต่ก็น่าจะมั่นใจได้มากขึ้น เนื่องจากล่าสุด Google ได้ประกาศว่าจะบังคับให้ผู้ใช้งาน Google Cloud ทุกบัญชีต้องทำ Multi-Factor Authentication (MFA) ภายในสิ้นปี …

Meta ระงับโครงการสร้างศูนย์ข้อมูลพลังงานนิวเคลียร์ เหตุพบผึ้งหายากในพื้นที่ก่อสร้าง

แผนของ Meta ในการพัฒนาศูนย์ข้อมูลพลังงานนิวเคลียร์เพื่อรองรับงาน AI ต้องถูกพับไปเพราะเจอบั๊ก แต่ดันเป็นแมลงจริง ๆ โดยมีรายงานว่าซีอีโอ Mark Zuckerberg แจ้งต่อพนักงานในที่ประชุมรวมว่าสาเหตุหนึ่งคือการค้นพบผึ้งสายพันธุ์หายากในพื้นที่ที่วางแผนจะสร้าง สะท้อนถึงความขัดแย้งที่เพิ่มขึ้นระหว่างการใช้พลังงานที่สูงขึ้นของ AI และการอนุรักษ์สิ่งแวดล้อม