Cisco ได้แก้ไขช่องโหว่ command injection ด้วย public exploit code ที่ทำให้ผู้ไม่ประสงค์ดีสามารถยกระดับสิทธิ์เป็น root บนระบบที่มีช่องโหว่ได้
CVE-2024-20469 (คะแนน CVSS 6.0/10.0 ความรุนแรงระดับ Medium) เป็นช่องโหว่ OS command injection ที่เกิดจากการตรวจสอบ input validation ของ user-supplied ที่ไม่เพียงพอใน Cisco ISE เมื่อผู้ไม่ประสงค์ดีสามารถโจมตีช่องโหว่ได้ด้วยการส่งคำสั่ง CLI ที่เป็นอันตรายในการโจมตี และมีความซับซ้อนต่ำ จึงทำให้ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้งาน
ทั้งนี้ผู้ไม่ประสงค์ดีจะสามารถใช้ช่องโหว่ในการโจมตีได้สำเร็จ เฉพาะในกรณีที่มีสิทธิ์ของผู้ดูแลระบบ บนระบบที่มีช่องโหว่เท่านั้น
Cisco Identity Services Engine (ISE) ของ Cisco เป็นซอฟต์แวร์ควบคุมการเข้าถึงเครือข่ายตามข้อมูล identity-based และ policy enforcement ที่ช่วยให้สามารถจัดการอุปกรณ์เครือข่าย และควบคุมการเข้าถึงระบบขององค์กร
เวอร์ชันที่ได้รับผลกระทบของ Cisco ISE
Cisco ISE เวอร์ชัน 3.1 และก่อนหน้า ไม่ได้รับผลกระทบ
Cisco ISE เวอร์ชัน 3.2 ได้รับการแก้ไขใน เวอร์ชัน 3.2P7 (Sep 2024)
Cisco ISE เวอร์ชัน 3.3 ได้รับการแก้ไขใน เวอร์ชัน 3.3P4 (Oct 2024)
Cisco ISE เวอร์ชัน 3.4 ไม่ได้รับผลกระทบ
ปัจจุบัน Cisco ยังไม่พบหลักฐานของผู้ไม่ประสงค์ดีที่กำลังใช้ช่องโหว่ดังกล่าวในการโจมตี รวมถึง Cisco ได้แจ้งเตือนลูกค้าว่าได้ลบ backdoor account ลับ ๆ ออกจากซอฟต์แวร์ Smart Licensing Utility Windows แล้ว ซึ่งผู้ไม่ประสงค์ดีสามารถใช้เพื่อเข้าสู่ระบบที่มีช่องโหว่โดยใช้สิทธิ์ของผู้ดูแลระบบ
ในเดือนเมษายน 2024 บริษัทได้ออกแพตช์ความปลอดภัยสำหรับช่องโหว่ Integrated Management Controller (IMC) (CVE-2024-20295) ซึ่งทำให้ผู้ไม่ประสงค์ดีที่เข้าถึงระบบได้ สามารถยกระดับสิทธิ์ให้เป็นระดับ root ได้อีกด้วย
รวมถึงช่องโหว่ CVE-2024-20401 ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถเพิ่มผู้ใช้ root และทำให้เครื่องมือ Security Email Gateway (SEG) ไม่สามารถตรวจสอบอีเมลที่เป็นอันตราย ซึ่งได้รับการแก้ไขช่องโหว่ไปแล้วเช่นเดียวกันเมื่อเดือนที่ผ่านมา
อีกทั้งมีการแจ้งเตือนเกี่ยวกับ CVE-2024-20419 ช่องโหว่ระดับ Critical ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเปลี่ยนรหัสผ่านผู้ใช้บนเซิร์ฟเวอร์ Cisco Smart Software Manager On-Prem (Cisco SSM On-Prem) ที่มีช่องโหว่ รวมถึงสิทธ์ของผู้ดูแลระบบด้วย
Ref: bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น