พบช่องโหว่ความรุนแรงระดับสูงใน Secure Boot Hardware ของอุปกรณ์ Cisco

Cisco ได้ออกมาประกาศถึงสองช่องโหว่ใหม่ที่ค้นพบ โดยมีความรุนแรงระดับสูง หนึ่งในนั้นคือบั๊กที่อยู่ใน Secure Boot Hardware กระทบทั้งอุปกรณ์ Switch, Router และ Firewall ปัจจุบันยังไม่ได้รับการแพตช์

Credit: ShutterStock.com

ช่องโหว่แรก (CVE-2019-1649) คือบั๊กที่พบใน Secure Boot Hardware ซึ่งมีอยู่ในอุปกรณ์ Cisco หลายประเภท เช่น Switch, Router และ Firewall โดยช่องโหว่นี้ช่วยให้ผู้ไม่หวังดีสามารถแก้ไข Firmware ของอุปกรณ์ได้ และสามารถข้ามขั้นตอนในการทำ Secure Boot verification ได้ ซึ่งอาจทำให้อุปกรณ์ทำงานได้ไม่เสถียรจนต้องเปลี่ยนอุปกรณ์ในท้ายที่สุด อย่างไรก็ตามผู้ที่ทำการโจมตีต้องสามารถเข้าถึงอุปกรณ์แบบ Local เท่านั้น และจำเป็นต้องมีสิทธิในระดับ Administrator ของระบบอีกด้วย ปัจจุบันยังไม่มีแพตช์สำหรับช่องโหว่นี้ โดย Cisco ประกาศว่าจะปล่อยแพตช์ภายในช่วงเดือนนี้ต่อไป

ช่องโหว่ที่สอง (CVE-2019-1862) คือ บั๊กที่พบใน Web UI ของ Cisco IOS XE ซึ่งผู้โจมตีสามารถใส่ Input Parameter บางอย่างใน Form ของ Web UI บนอุปกรณ์จนทำให้สามารถรันคำสั่งในระดับ root ของอุปกรณ์ได้ โดยที่ไม่จำเป็นต้องยืนยันตัวตนแต่อย่างใด ซึ่งช่องโหว่นี้จะเกิดขึ้นในอุปกรณ์ที่ใช้ Cisco IOS XE และเปิดฟีเจอร์ HTTP Server คู่กัน ปัจจุบัน Cisco ได้ออกแพตช์เพื่ออุดช่องโหว่นี้แล้ว ผู้ดูแลระบบจึงควรทำการอัปเดตทันที

ที่มา: https://threatpost.com/cisco-bugs-unpatched-millions-devices/


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

NEXUS เชิญร่วมสัมมนาฟรี “Digitizing Intelligent Omni-Channel for your Retail Business” อาวุธลับความสำเร็จของธุรกิจค้าปลีกในรูปแบบใหม่

บริษัท เน็กซัส ซิสเท็ม รีซอร์สเซส จำกัด ผู้เชี่ยวชาญด้านการให้คำปรึกษา วางระบบซอฟต์แวร์ เพื่อเพิ่มศักยภาพธุรกิจ ร่วมกับ SAP ผู้พัฒนาซอฟต์แวร์ อันดับ 1 และ DELL EMC ผู้ให้บริการฮาร์ดแวร์ ชั้นนำของโลก ขอเรียนเชิญผู้บริหาร ทีมไอที และผู้ที่สนใจเข้าร่วมงานสัมมนา "Digitizing Intelligent Omni-Channel for your Retail Business" เพื่อเรียนรู้แนวทางการประยุกต์ใช้เทคโนโลยีต่างๆ มาเปลี่ยนให้ธุรกิจค้าปลีกของคุณก้าวสู่การเป็น Omni-Channel และ Online-to-Offline (O2O) ได้อย่างเต็มตัว ในวันที่ 30 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานดังนี้

กรณีศึกษา: API กับการทำ Open Banking และการนำ API ไปต่อยอดธุรกิจในอุตสาหกรรมอื่นทั่วโลก

คงปฏิเสธไม่ได้ว่าทุกวันนี้ข้อมูลได้เข้ามามีบทบาททั้งในการทำงานและการใช้ชีวิตประจำวันของทุกคนเป็นอย่างมาก และ API นั้นก็ถือเป็นเบื้องหลังที่สำคัญอันหนึ่งในการทำให้การนำข้อมูลมาใช้งานนั้นเกิดขึ้นได้อย่างแพร่หลายและกว้างขวางอย่างทุกวันนี้ ในบทความนี้เราจะมาเล่าถึงกรณีศึกษาในการนำ API มาใช้ในธุรกิจต่างๆ ทั้งกรณีของการทำ Open Banking ที่กำลังเป็นแนวโน้มใหญ่ และการใช้งาน API ในธุรกิจอุตสาหกรรมอื่นๆ เพื่อเป็นแนวทางให้ทุกท่านได้นำไปประยุกต์ใช้เข้ากับธุรกิจของตนเองได้