ADPT

Cisco ประกาศแพตช์ช่องโหว่ร้ายแรงสูงสุดใน IOS XE แนะเร่งอัปเดตด่วน!

Cisco ได้ประกาศอุดช่องโหว่ที่ส่งผลกระทบกับระบบปฎิบัติการ IOS XE โดยช่องโหว่จะอยู่ใน REST API Virtual Container ที่ต้องมีการติดตั้งเพิ่มเติมหรือ image บางตัวจะมีมาให้อยู่แล้ว โดยช่องโหว่จะช่วยให้คนร้ายสามารถ Bypass การล็อกอินของอุปกรณ์ได้

Credit: Visual Generation/ShutterStock

ไอเดียคือช่องโหว่หมายเลข CVE-2019-12643 ที่ได้ส่งผลกระทบกับ REST API Virtual Container สำหรับ IOS XE ด้วยเหตุว่าตรวจสอบโค้ดที่จัดการเรื่องพิสูจน์ตัวตนของ API ได้ไม่ดีพอ จึงทำให้คนร้ายสามารถใช้ HTTP Request ที่ประดิษฐ์ขึ้นพิเศษเข้ามาโจมตีและได้รับ Token-id ของผู้ใช้งานที่พิสูจน์ตัวตนแล้วเพื่อนำไปสู่การ Bypass การป้องกันได้ โดยช่องโหว่มีระดับความรุนแรงที่ 10/10 ทีเดียว

ทั้งนี้ Cisco ยืนยันว่าช่องโหว่จะกระทบกับเราเตอร์ ISR 4000, ASR 1000, CSR 1000v และ ISVR อย่างไรก็ตามโดยส่วนใหญ่แล้ว REST API Virtual Interface ไม่ได้ถูกเปิดเป็น Default ที่จะต้องมีการติดตั้งเพิ่มเติมเข้ามา (รูปแบบของ .OVA) ผู้ใช้งานถึงจะได้รับผลกระทบ  แต่เคราะห์ร้ายที่ Image ของ IOS XE บางตัวได้ผนวกตัว OVA ของ REST API มาให้ด้วย ซึ่งใน Advisory ของ Cisco ได้ให้คำสั่งตรวจสอบว่าอุปกรณ์ได้เปิด REST API ไว้หรือไม่ที่แก้ได้ 2 วิธีคือ 1.ไปลบ OVA ใน image 2.อัปเดตแพตช์เป็น iosexe-remote-mgmt.16.09.03.ova 

ในวาระเดียวกันนี้ Cisco ยังได้ประกาศแพตช์ร้ายแรงระดับสูงอีก 5 รายการที่ส่งผลกระทบกับ UCS Fabric Interconnect, NX-OS และ FXOS ด้วย

ที่มา :  https://www.zdnet.com/article/patch-now-cisco-ios-xe-routers-exposed-to-rare-1010-severity-security-flaw/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Akamai, Imperva ยืนหนึ่งบน Gartner Magic Quadrant ทางด้าน Web Application and API Protection ปี 2021

Gartner บริษัทวิจัยและที่ปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Web Application and API Protection ฉบับใหม่ปี 2021 ผลปรากฏว่า Akamai …

รู้จักกับ FIDO2 มาตรฐานการพิสูจน์ตัวตนบนโลกออนไลน์

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทั่วโลกต่างเห็นตรงกันว่า Password เป็นการพิสูจน์ตัวตนที่ล้าสมัยและควรเก็บเข้ากรุได้แล้ว การดูแลรักษา Password เทียบกับประโยชน์ที่ได้จากการใช้งานในปัจจุบันห่างไกลจากความคุ้มค่ามากนัก และมักนำไปสู่เหตุ Credential Theft หรือถูกแฮ็กได้ ต่อให้เป็นรหัสผ่านที่แข็งแกร่งที่สุด ก็อาจตกเป็นเหยื่อของการถูก Phishing ได้เช่นกัน