Breaking News

Cisco ประกาศแพตช์ช่องโหว่ร้ายแรงสูงสุดใน IOS XE แนะเร่งอัปเดตด่วน!

Cisco ได้ประกาศอุดช่องโหว่ที่ส่งผลกระทบกับระบบปฎิบัติการ IOS XE โดยช่องโหว่จะอยู่ใน REST API Virtual Container ที่ต้องมีการติดตั้งเพิ่มเติมหรือ image บางตัวจะมีมาให้อยู่แล้ว โดยช่องโหว่จะช่วยให้คนร้ายสามารถ Bypass การล็อกอินของอุปกรณ์ได้

Credit: Visual Generation/ShutterStock

ไอเดียคือช่องโหว่หมายเลข CVE-2019-12643 ที่ได้ส่งผลกระทบกับ REST API Virtual Container สำหรับ IOS XE ด้วยเหตุว่าตรวจสอบโค้ดที่จัดการเรื่องพิสูจน์ตัวตนของ API ได้ไม่ดีพอ จึงทำให้คนร้ายสามารถใช้ HTTP Request ที่ประดิษฐ์ขึ้นพิเศษเข้ามาโจมตีและได้รับ Token-id ของผู้ใช้งานที่พิสูจน์ตัวตนแล้วเพื่อนำไปสู่การ Bypass การป้องกันได้ โดยช่องโหว่มีระดับความรุนแรงที่ 10/10 ทีเดียว

ทั้งนี้ Cisco ยืนยันว่าช่องโหว่จะกระทบกับเราเตอร์ ISR 4000, ASR 1000, CSR 1000v และ ISVR อย่างไรก็ตามโดยส่วนใหญ่แล้ว REST API Virtual Interface ไม่ได้ถูกเปิดเป็น Default ที่จะต้องมีการติดตั้งเพิ่มเติมเข้ามา (รูปแบบของ .OVA) ผู้ใช้งานถึงจะได้รับผลกระทบ  แต่เคราะห์ร้ายที่ Image ของ IOS XE บางตัวได้ผนวกตัว OVA ของ REST API มาให้ด้วย ซึ่งใน Advisory ของ Cisco ได้ให้คำสั่งตรวจสอบว่าอุปกรณ์ได้เปิด REST API ไว้หรือไม่ที่แก้ได้ 2 วิธีคือ 1.ไปลบ OVA ใน image 2.อัปเดตแพตช์เป็น iosexe-remote-mgmt.16.09.03.ova 

ในวาระเดียวกันนี้ Cisco ยังได้ประกาศแพตช์ร้ายแรงระดับสูงอีก 5 รายการที่ส่งผลกระทบกับ UCS Fabric Interconnect, NX-OS และ FXOS ด้วย

ที่มา :  https://www.zdnet.com/article/patch-now-cisco-ios-xe-routers-exposed-to-rare-1010-severity-security-flaw/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft แพตช์อุดช่องโหว่เดือนสิงหาคม มี Zero-day 2 รายการถูกใช้แล้ว แนะเร่งอัปเดต

สำหรับแพตช์ประจำเดือนสิงหาคมในส่วนผลิตภัณฑ์จาก Microsoft นั้น มีจำนวน 120 รายการ โดยกว่า 17 รายการเป็นช่องโหว่ร้ายแรง ซึ่ง 2 รายการนั้นพบการใช้โจมตีจริงแล้ว ด้วยเหตุนี้จึงเตือนให้ผู้ใช้งานกรุณาอัปเดตครับ

Oracle Webinar: ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure (Gen 2)

Oracle ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย Oracle Webinar เรื่อง “ลดการลงทุนด้านเทคโนโลยีอย่างสูญเปล่าด้วย Oracle Cloud Infrastructure” พร้อมแนะนำการทำ Application Modernization เพื่อพลิกโฉมธุรกิจในยุค New Normal ในวันอังคารที่ 18 สิงหาคม 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี