Cisco ออกอับเดตปิด 19 ช่องโหว่ในอุปกรณ์เราเตอร์และสวิตช์

บริษัทซิสโก้ซีสเต็มส์ (Cisco Systems Inc.) ผู้นำทางด้านเครือข่ายสื่อสารข้อมูลเมื่อสัปดาห์ที่ผ่านมาได้ออกอับเดตทางด้านความปลอดภัยเพื่อปิด 19 ช่องโหว่ในซอฟต์แวร์ IOS และ IOS XE ที่ใช้กันในอุปกรณ์เราเตอร์และสวิตช์ของบริษัท

บริษัทกล่าวว่ามีช่องโหว่ 6 ช่องโหว่ที่ส่งผลกระทบต่อทั้งซอฟต์แวร์ IOS และซอฟต์แวร์ IOS XE และข้อบกพร่องด้านความปลอดภัยบางส่วนถูกจัดอันดับให้เป็นช่องโหว่ที่มีอันตรายระดับสูงซึ่งสรุปได้ดังต่อไปนี้

  • ช่องโหว่ในส่วนสื่อประสานกับผู้ใช้( UI – User Interface)บนเว็บของซอฟต์แวร์ IOS XE อาจทำให้ผู้ไม่หวังดีจากนอกเครือข่ายเข้าถึงข้อมูลสำคัญต่างๆโดยไม่ต้องผ่านการพิสูจน์ยืนยันตัวตนได้

 

  • ช่องโหว่ในซอฟต์แวร์ใน Cisco IOS XE อาจทำให้ผู้ไม่หวังดีที่อยู่บนเคลื่อขายที่ผ่านการพิสูจน์ยืนยันตัวตนออกคำสั่งตามอำเภอใจใดๆก็ได้ด้วยสิทธิในระดับสูง ช่องโหว่นี้เกิดจากกระบวนการยืนยันความถูกต้องของคำสั่งในซอฟต์แวร์จากผู้ใช้ไม่เพียงพอ ผู้ไม่หวังดีสามารถใช้โหว่นี้ได้ด้วยการเข้าสู่ระบบและป้อนคำสั่งที่ทำให้ระบบได้รับผลกระทบ

 

  • ช่องโหว่ที่เป็นจุดอ่อนในการยืนยันความถูกต้องของการรับส่งข้อมูลในซอฟต์แวร์ IOS XE สำหรับเราเตอร์รุ่น ASR 900 Route Switch Processor 3 ซึ่งอาจทำให้ผู้ไม่หวังดีที่ไม่ต้องผ่านการพิสูจน์ยืนยันตัวตนที่อยู่ในเครือข่ายใกล้เคียงสามารถรีบูตอุปกรณ์เราเตอร์ได้ ช่องโหว่เกิดขึ้นเนื่องจากกระบวนการยืนยันการรับข้อมูลของซอฟต์แวร์มีไม่เพียงพอโดยที่ผู้ไม่หวังดีสามารถใช้ช้องโหว่โดยการส่งข้อความของ OSPF เวอร์ชั่น 2 ที่ผิดรูปแบบ

 

  • ช่องโหว่ที่เป็นปัญหาในระบบย่อยในส่วนการพิสูจน์ยืนยันตัวตนของซอฟต์แวร์ IOS XE ที่อาจทำให้ผู้ไม่หวังดีนอกเครือข่ายที่ผ่านพิสูจน์ยืนยันตัวตนได้รับสิทธิระดับ 1 สามารถเรียกใช้คำสั่งของ Cisco IOS ที่มีสิทธิระดับสูงได้โดยใช้เว็บส่วนสื่อประสานกับผู้ใช้ ช่องโหว่นี้เกิดขึ้นได้เนื่องจากกระบวนการพิสูจน์ยืนยันตัวตนผู้ใช้ในส่วนสื่อประสานกับผู้ใช้ไม่เหมาะสม ผู้ไม่หวังดีสามารถโจมตีช่องโหว่นี้ได้ด้วยการส่งข้อมูลที่ประสงค์ร้ายไปยังจุดปลายทางหนึ่งของ UI

 

บริษัทยังได้ประกาศอีกว่าอับเดตที่ออกมาก่อนหน้านี้สำหรับเราเตอร์ RV320 และ RV325 นั้นไม่สมบูรณ์ ซึ่งยังคงมีช่องโหว่เปิดโอกาศให้กับผู้ไม่หวังดีโจมตีช่องโหว่ได้ และทางบริษัทจะต้องทำการแก้ไขและออกอับเดตใหม่ให้กับผู้ใช้ต่อไป

 

 

error: กด RightClick แทน