Cisco เตือนพบช่องโหว่ Zero-day บน IP Phone ที่ End-of-life ไปแล้ว

Cisco ได้ออกประกาศเตือนเกี่ยวกับการค้นพบช่องโหว่ Zero-day ชุดใหม่บนอุปกรณ์ IP Phone ที่ได้สิ้นสุดการสนับสนุนแล้ว

ช่องโหว่ Zero-day จำนวนห้าตัวถูกค้นพบบนอุปกรณ์ IP Phone รุ่น Small Business SPA 300 และ SPA 500 Series ประกอบด้วย CVE-2024-20450, CVE-2024-20452 และ CVE-2024-20454 ซึ่งเป็นช่องโหว่ประเภท Buffer Overflow ที่มีความรุนแรงตามเกณฑ์ CVSS v.3.1 อยู่ที่ระดับ 9.8/10 ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถรันคำสั่งได้แบบ Remote ในสิทธิระดับ root นอกจากนี้ยังมีช่องโหว่อีกสองตัว คือ CVE-2024-20451 และ CVE-2024-20453 ซึ่งมีความรุนแรงระดับ 7.5 ทำให้สามารถโจมตีแบบ Denial of service ได้ Cisco ยืนยันว่าช่องโหว่ทั้งหมดนี้ส่งผลกระทบต่อซอฟต์แวร์ทุกเวอร์ชัน

อย่างไรก็ตาม อุปกรณ์ทั้งสองรุ่นได้เข้าสู่ระยะ End of support ไปแล้ว โดย SPA 300 สิ้นสุดการสนับสนุนเมื่อเดือนกุมภาพันธ์ 2022 และ SPA 500 สิ้นสุดการสนับสนุนในเดือนมิถุนายน 2020 ด้วยเหตุนี้ จึงจะไม่มีการออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว Cisco แนะนำให้ผู้ใช้งานทำการอัปเกรดฮาร์ดแวร์เป็นรุ่นใหม่ เช่น Cisco IP Phone 8841 หรือ Cisco 6800 Series แทน

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-zero-days-in-end-of-life-ip-phones/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ เพิ่มความสามารถด้าน Coding หวังชน GPT-5.5

Meta เตรียมปล่อยโมเดล AI รุ่นใหม่ที่พัฒนาต่อยอดจาก Muse Spark โดย Alexandr Wang Chief AI Officer ของ Meta เปิดเผยผ่านแพลตฟอร์ม …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …