0

ซิสโก้แก้ไขช่องโหว่ร้ายแรงใน Webex, กล้องไอพี, และ ISE

ซิสโก้แก้ไขช่องโหว่ร้ายแรงใน Webex, กล้องไอพี, และ ISE


2020-10-21 15:11:17

ซิสโก้ได้แก้ไขช่องโหว่ร้ายแรงที่พบในผลิตภัณฑ์ กล้อง IP, Webex Teams และ Identity Services Engine ที่เคยเปิดช่องให้ผู้โจมตีเข้ามารันการทำงานบนอุปกรณ์เป้าหมายได้จากระยะไกล นอกจากนี้ซิสโก้ ยังแก้ไขช่องโหว่ความรุนแรงระดับปานกลาง 11 รายการที่พบบนอุปกรณ์ต่างๆ ของซิสโก้ด้วย


ช่องโหว่ของ Cisco Webex Windows DLL Hijacking

สำหรับช่องโหว่ร้ายแรงมากที่สุดในชุดนี้คือบั๊กที่เปิดให้แฮ็กไฟล์ DLL บนวินโดวส์ที่ใช้งานโดย Cisco Webexเป็นช่องโหว่ที่อยู่ในตัวไคลเอนต์ ทำให้ผู้โจมตีที่อยู่บนเครื่องเดียวกันที่ผ่านการยืนยันตนมาได้ โหลดไลบรารีที่เป็นอันตรายเข้ามา อยู่ภายใต้รหัส CVE-2020-3544 ได้คะแนนความร้ายแรงตามสเกล CVSS อยู่ที่ 7.8 เต็ม 10 ซึ่งซิสโก้ได้แก้ไขแล้วในเวอร์ชั่น 3.0.16269.0 หรือใหม่กว่า


กล้อง IP RCE & DoS

ส่วนช่องโหว่ร้ายแรงมากอีกรายการอยู่ในส่วน Cisco Discovery Protocol ของกล้องไอพีรุ่น Cisco Video Surveillance 8000 Series ที่เปิดให้ผู้โจมตีที่อยู่ใกล้เคียงเข้ามารันโค้ดอันตรายได้โดยไม่ต้องยืนยันตัวตน

ผู้โจมตีสามารถใช้ช่องโหว่นี้ได้โดยส่งแพ็กเก็ต Cisco Discovery Protocol ที่เป็นอันตรายไปยังอุปกรณ์ที่ได้รับผลกระทบ

การหาประโยชน์ที่ประสบความสำเร็จทำให้ผู้โจมตีสามารถรันโค้ดบนกล้อง IP ที่ได้รับผลกระทบหรือทำให้โหลดซ้ำโดยไม่คาดคิดส่งผลให้เกิดการปฏิเสธการให้บริการ (DoS) ซิสโก้แก้ไขช่องโหว่ด้วยการแนะนำให้ผู้ใช้อัปเดตเป็นเวอร์ชัน1.0.9-5 ขึ้นไป


ISE Authorization Bypass Vulnerability

ช่องโหว่นี้อยู่ในอินเทอร์เฟซการจัดการบนเว็บของ Cisco Identity Services Engine (ISE) อาจทำให้ผู้โจมตีระยะไกลที่ได้รับการพิสูจน์ตัวตนสามารถแก้ไขส่วนต่างๆของการกำหนดค่าบนอุปกรณ์ที่ได้รับผลกระทบ


แปลโดย : kirz.com

อ้างอิงจาก : gbhackers.com