Cisco ออกแพตช์อุดช่องโหว่ใน ASR 9000, WLAN Controller และซอฟต์แวร์ IOS/IOS XE แนะนำเร่งอัปเดต

Cisco ได้ประกาศออกแพตช์ช่องโหว่ในผลิตภัณฑ์ต่างๆ รวม 31 รายการประกอบด้วย 2 รายการเป็นช่องโหว่ระดับร้ายแรง (CVE 9.8) 6 รายการเป็นระดับรุนแรงสูงและสุดท้าย 23 รายการเป็นระดับปานกลาง โดยช่องโหว่รุนแรงเกิดกับซอฟต์แวร์ IOS หรือ IOS XE และเราเตอร์ ASR 9000 จึงแนะนำผู้ใช้รีบอัปเดต

Credit: Visual Generation/ShutterStock

ช่องโหว่ที่น่าสนใจมีดังนี้

  • CVE-2017-3881 – เป็นช่องโหว่ร้ายแรงที่เกิดขึ้นกับ Cluster Management Protocol ซึ่งเป็นโค้ดภายใน Cisco IOS และ IOS XE (ระบบปฏิบัติการของอุปกรณ์ Cisco) ที่สามารถนำไปสู่การทำ Remote Code Execution ด้วยสิทธิ์ระดับสูงได้ อย่างไรก็ตามไม่มี Workaround ที่ได้ผลดี ดังนั้นแนะนำให้อัปเดตแพตช์
  • CVE-2019-1710 – เป็นช่องโหว่ร้ายแรงที่เกิดขึ้นกับ ASR 9000 ซึ่งคนร้ายที่ยังไม่ได้พิสูจน์ตัวตนหรือจากทางไกลสามารถเข้าถึงแอปพลิเคชันภายในที่รันอยู่บน sysadmin VM เพราะไม่สามารถแบ่งแยก Management Interface กับ internal application ได้ดีเพียงพอ
  • ช่องโหว่ 6 รายการระดับรุนแรงสูงบนโปรโตคอล IAAP และหน้า GUI Admin ของ Wireless Lan Controller ซึ่งส่งผลให้ผู้โจมตีที่ยังไม่พิสูจน์ตัวตนหรือจากทางไกลทำการ DoS ได้

สำหรับช่องโหว่อื่นๆ อีก 23 รายการโดยภาพรวมคือ XSS, DoS และเกี่ยวกับการเข้าถึงที่ไม่ได้พิสูจน์ตัวตนซึ่งกระทบกับผลิตภัณฑ์จำนวนมาก เช่น UCS B-Series Blade Servers, Unified Communications Manager (Unified CM), DNA Center, Registered Envelope Service, Prime Network Registrar, Identity Services Engine (ISE), ASR 9000 routers, IOS XR Software, Expressway Series and TelePresence VCS, Email Security Appliance (ESA), Firepower Management Center (FMC), Directory Connector และ Aironet Series Access Points เป็นต้น

สามารถติดตามรายระเอียดช่องโหว่ทั้งหมดได้ที่เว็บของ Cisco

ที่มา :  https://www.darkreading.com/vulnerabilities—threats/cisco-issues-31-mid-april-security-alerts/d/d-id/1334476 และ  https://www.securityweek.com/cisco-patches-critical-flaw-asr-9000-routers และ  https://www.networkworld.com/article/3390159/cisco-warns-wlan-controller-9000-series-router-and-iosxe-users-to-patch-urgent-security-holes.html


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Elastic เปิดฟีเจอร์ด้านความมั่นคงปลอดภัยขั้นพื้นฐานให้ใช้ได้ฟรี

Elastic ได้ประกาศเปิดบางฟีเจอร์ด้านความมั่นคงปลอดภัยให้ใช้งานได้ฟรีๆ บน Elastic Stack ซึ่งการประกาศครั้งนี้เป็นการสนับสนุนควบคู่กันไปกับการประกาศ Elastic Cloud on Kubernetes ด้วย

Veeam Availability Orchestrator v2 ออกแล้ว! พร้อมตอบโจทย์การทำ DR ในทุกองค์กร

Veeam ได้ประกาศออก Availability Orchestrator v2 แล้วซึ่งเปิดตัวเวอร์ชันแรกไปในปี 2018 โดยเวอร์ชันใหม่มีการเพิ่มขีดความสามารถให้ใช้งานได้ง่ายและรองรับการทำ DR ให้กับทุกองค์กร