Cisco เตือนพบช่องโหว่ Zero-day บน IP Phone ที่ End-of-life ไปแล้ว

Cisco ได้ออกประกาศเตือนเกี่ยวกับการค้นพบช่องโหว่ Zero-day ชุดใหม่บนอุปกรณ์ IP Phone ที่ได้สิ้นสุดการสนับสนุนแล้ว

ช่องโหว่ Zero-day จำนวนห้าตัวถูกค้นพบบนอุปกรณ์ IP Phone รุ่น Small Business SPA 300 และ SPA 500 Series ประกอบด้วย CVE-2024-20450, CVE-2024-20452 และ CVE-2024-20454 ซึ่งเป็นช่องโหว่ประเภท Buffer Overflow ที่มีความรุนแรงตามเกณฑ์ CVSS v.3.1 อยู่ที่ระดับ 9.8/10 ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถรันคำสั่งได้แบบ Remote ในสิทธิระดับ root นอกจากนี้ยังมีช่องโหว่อีกสองตัว คือ CVE-2024-20451 และ CVE-2024-20453 ซึ่งมีความรุนแรงระดับ 7.5 ทำให้สามารถโจมตีแบบ Denial of service ได้ Cisco ยืนยันว่าช่องโหว่ทั้งหมดนี้ส่งผลกระทบต่อซอฟต์แวร์ทุกเวอร์ชัน

อย่างไรก็ตาม อุปกรณ์ทั้งสองรุ่นได้เข้าสู่ระยะ End of support ไปแล้ว โดย SPA 300 สิ้นสุดการสนับสนุนเมื่อเดือนกุมภาพันธ์ 2022 และ SPA 500 สิ้นสุดการสนับสนุนในเดือนมิถุนายน 2020 ด้วยเหตุนี้ จึงจะไม่มีการออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว Cisco แนะนำให้ผู้ใช้งานทำการอัปเกรดฮาร์ดแวร์เป็นรุ่นใหม่ เช่น Cisco IP Phone 8841 หรือ Cisco 6800 Series แทน

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-zero-days-in-end-of-life-ip-phones/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

OpenAI เปิดตัว Canvas แนวทางใหม่ใน ChatGPT สำหรับเขียนบทความหรือโค้ด

หลังจาก OpenAI เพิ่งสามารถระดมทุนได้สูงถึง 6.6 พันล้านดอลลาร์สหรัฐมาหมาด ๆ ล่าสุด บริษัทได้มีการอัปเดต ChatGPT ด้วยการใส่ฟีเจอร์ใหม่เข้าไปในชื่อ “Canvas” แนวทางใหม่ในการใช้งาน ChatGPT ในการเขียนบทความหรือโค้ด ที่สามารถแก้ไข …

MongoDB เปิดตัว MongoDB 8.0 เวอร์ชันใหม่ล่าสุด มาพร้อมการปรับปรุงประสิทธิภาพ

MongoDB ประกาศพร้อมให้บริการ MongoDB 8.0 ทั่วโลก มาพร้อมประสิทธิภาพที่ดีขึ้น เพิ่มความปลอดภัยระดับองค์กร และฟีเจอร์ใหม่จำนวนมาก