สัปดาห์ที่ผ่านมา Cisco ออก Security Advisory สำหรับช่องโหว่บน Cisco IOS และ IOS XE รวม 20 รายการ ซึ่ง 2 รายการนั้นเป็นช่องโหว่ความรุนแรงระดับสูงบน Smart Install ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution และรีโหลดอุปกรณ์เพื่อโจมตีแบบ Denial of Service โดยไม่ต้องพิสูจน์ตัวตนได้ ล่าสุดทาง Cisco ประเทศไทยได้ให้คำแนะนำสำหรับจัดการช่องโหว่ ดังนี้

ช่องโหว่ที่ค้นพบนี้มีรหัส CVE-2018-156 และ CVE-2018-0171 เป็นช่องโหว่บน Smart Install ซึ่งเป็นโปรแกรม Client สำหรับใช้ตั้งค่า Switch ที่รัน Cisco IOS และ Cisco IOS XE จากการตรวจสอบพบว่ามีอุปกรณ์ Cisco มากกว่า 250,000 เครื่องที่มีช่องโหว่กำลังออนไลน์อยู่บนอินเทอร์เน็ตซึ่งเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ 2 รายการนี้ได้ สาเหตุมากจาก Smart Install ใช้พอร์ต TCP 4786 ซึ่งถูกเปิดใช้งานมาตั้งแต่โรงงาน
สำหรับวิธีแก้ปัญหาและอัปเดตแพตช์ทำได้โดย
- ตรวจสอบว่าซอฟต์แวร์ Cisco IOS และ IOS XE ที่ตนใช้อยู่ได้รับผลกระทบจากช่องโหว่หรือไม่โดยใช้ Cisco IOS Software Checker
- ในกรณีที่ซอฟต์แวร์มีช่องโหว่ ให้วางแผนเพื่อดำเนินการแพตช์ทันที สำหรับลูกค้าที่ไม่มี Service Contract สามารถอัปเดตได้โดยการติดต่อ Cisco TAC
- Workaround ระหว่างรอการแพตช์
- ในกรณีที่ต้องใช้งาน แนะนำให้ผู้ดูแลระบบตั้งค่า ACL บนพอร์ต TCP 4786 เฉพาะโฮสต์ที่เชื่อถือได้เท่านั้น
- ในกรณีที่ไม่ต้องใช้งาน ให้ปิดการใช้ Smart Install (ดูวิธีการตั้งค่าได้ที่นี่)
- ในกรณีที่ไม่สามารถปิดการใช้งานได้ หมายความว่าซอฟต์แวร์ Cisco IOS หรือ IOS XE มีอายุนานกว่า 5 ปี แนะนำให้อัปเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดแล้วค่อยปิดการใช้ Smart Install
รายละเอียดเพิ่มเติม: