คำแนะนำสำหรับจัดการกับช่องโหว่ Smart Install บนซอฟต์แวร์ Cisco IOS และ IOS XE

สัปดาห์ที่ผ่านมา Cisco ออก Security Advisory สำหรับช่องโหว่บน Cisco IOS และ IOS XE รวม 20 รายการ ซึ่ง 2 รายการนั้นเป็นช่องโหว่ความรุนแรงระดับสูงบน Smart Install ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Remote Code Execution และรีโหลดอุปกรณ์เพื่อโจมตีแบบ Denial of Service โดยไม่ต้องพิสูจน์ตัวตนได้ ล่าสุดทาง Cisco ประเทศไทยได้ให้คำแนะนำสำหรับจัดการช่องโหว่ ดังนี้

Credit: Visual Generation/ShutterStock

ช่องโหว่ที่ค้นพบนี้มีรหัส CVE-2018-156 และ CVE-2018-0171 เป็นช่องโหว่บน Smart Install ซึ่งเป็นโปรแกรม Client สำหรับใช้ตั้งค่า Switch ที่รัน Cisco IOS และ Cisco IOS XE จากการตรวจสอบพบว่ามีอุปกรณ์ Cisco มากกว่า 250,000 เครื่องที่มีช่องโหว่กำลังออนไลน์อยู่บนอินเทอร์เน็ตซึ่งเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ 2 รายการนี้ได้ สาเหตุมากจาก Smart Install ใช้พอร์ต TCP 4786 ซึ่งถูกเปิดใช้งานมาตั้งแต่โรงงาน

สำหรับวิธีแก้ปัญหาและอัปเดตแพตช์ทำได้โดย

  1. ตรวจสอบว่าซอฟต์แวร์ Cisco IOS และ IOS XE ที่ตนใช้อยู่ได้รับผลกระทบจากช่องโหว่หรือไม่โดยใช้ Cisco IOS Software Checker
  2. ในกรณีที่ซอฟต์แวร์มีช่องโหว่ ให้วางแผนเพื่อดำเนินการแพตช์ทันที สำหรับลูกค้าที่ไม่มี Service Contract สามารถอัปเดตได้โดยการติดต่อ Cisco TAC
  3. Workaround ระหว่างรอการแพตช์
  • ในกรณีที่ต้องใช้งาน แนะนำให้ผู้ดูแลระบบตั้งค่า ACL บนพอร์ต TCP 4786 เฉพาะโฮสต์ที่เชื่อถือได้เท่านั้น
  • ในกรณีที่ไม่ต้องใช้งาน ให้ปิดการใช้ Smart Install (ดูวิธีการตั้งค่าได้ที่นี่)
  • ในกรณีที่ไม่สามารถปิดการใช้งานได้ หมายความว่าซอฟต์แวร์​ Cisco IOS หรือ IOS XE มีอายุนานกว่า 5 ปี แนะนำให้อัปเกรดซอฟต์แวร์เป็นเวอร์ชันล่าสุดแล้วค่อยปิดการใช้ Smart Install

รายละเอียดเพิ่มเติม:


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

7 ความสามารถของ Aruba EdgeConnect ที่ทำให้ระบบเครือข่ายมีประสิทธิภาพเหนือกว่าโซลูชัน SD-WAN ทั่วไป

ในบทความนี้เราจะสรุปถึงความสามารถของ Aruba EdgeConnect ที่โดดเด่นเหนือกว่าโซลูชัน SD-WAN ทั่วไปในเชิงของประสิทธิภาพให้ทุกท่านได้นำไปศึกษากัน ดังนี้ครับ

[Video] ถึงเวลาสำหรับการเริ่มต้นใหม่……กับความปลอดภัยจาก Aruba Dynamic Segmentation

สามารถตอบโจทย์ความหลากหลายของอุปกรณ์ที่จะนำมาใช้งานเชื่อมต่อระบบเครือข่ายได้ ทั้งแบบมีสาย และ ไร้สาย