เมนู

Cisco ประกาศช่องโหว่ในกลุ่ม Small Business Series Switches หลายรุ่น

Cisco ประกาศช่องโหว่ในกลุ่ม Small Business Series Switches หลายรุ่น

ระดับความรุนแรงขั้นวิกฤต (CVSS 9.8) จำนวน 4 รายการ
ระดับความรุนแรงขั้นสูง (CVSS 8.6, 7.5 ) จำนวน 5 รายการ

18 พฤษภาคม 2566

Cisco ประกาศแจ้งเตือนพบช่องโหว่ด้านความปลอดภัย 9 รายการในส่วนของ web base user interface, การโจมตีจากระยะไกลที่ไม่ผ่านการตรวจสอบสิทธิ, การเรียกใช้โค้ดจากระยะไกลทำให้ได้รับสิทธิสูงสุดสามารถทำให้เกิดการปฏิเสธการให้บริการ (DoS) ส่งผลกระทบต่อ Small Business Series Switches ในหลายรุ่น

โดยช่องโหว่ด้านความปลอดภัย 9 รายการนั้น จัดอยู่ในระดับความรุนแรงขั้นวิกฤต (CVSS 9.8) จำนวน 4 รายการ ระดับความรุนแรงขั้นสูง (CVSS 8.6, 7.5 ) จำนวน 5 รายการ ดังต่อไปนี้

  1. CVE-2023-20159 (CVSS score: 9.8): Small Business Series Switches Stack Buffer Overflow Vulnerability
  2. CVE-2023-20160 (CVSS score: 9.8): Small Business Series Switches Unauthenticated BSS Buffer Overflow Vulnerability
  3. CVE-2023-20161 (CVSS score: 9.8): Small Business Series Switches Unauthenticated Stack Buffer Overflow Vulnerability
  4. CVE-2023-20189 (CVSS score: 9.8): Small Business Series Switches Unauthenticated Stack Buffer Overflow Vulnerability
  5. CVE-2023-20024 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability
  6. CVE-2023-20156 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability
  7. CVE-2023-20157 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Heap Buffer Overflow Vulnerability
  8. CVE-2023-20158 (CVSS score: 8.6): Cisco Small Business Series Switches Unauthenticated Denial-of-Service Vulnerability
  9. CVE-2023-20162 (CVSS score: 7.5): Cisco Small Business Series Switches Unauthenticated Configuration Reading Vulnerability

สำหรับรุ่นของสวิตช์ Cisco Small Business ที่ได้รับผลกระทบมีดังต่อไปนี้

  1. 250 Series Smart Switches
  2. 350 Series Managed Switches
  3. 350X Series Stackable Managed Switches
  4. 550X Series Stackable Managed Switches
  5. Business 250 Series Smart Switches
  6. Business 350 Series Managed Switches
  7. Small Business 200 Series Smart Switches
  8. Small Business 300 Series Managed Switches
  9. Small Business 500 Series Stackable Managed Switches

ท้ายสุดแล้ว Cisco แนะนำให้ทำการอัพเดทเฟิร์มแวร์เป็นเวอร์ชั่นดังต่อไปนี้

รุ่น 250 Series Smart Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, และ550X Series Stackable Managed Switches  ให้ทำการอัพเดทเป็นเฟิร์มแวร์เวอร์ชัน 2.5.9.16

รุ่น Business 250 Series Smart Switches และ Business 350 Series Managed Switches ให้ทำการอัพเดทเป็นเฟิร์มแวร์เวอร์ชัน 3.3.0.16

สำหรับรุ่นของ Small Business 200, 300, 500 Series Managed Switches นั้นไม่มีแพตช์ให้อัพเดทเนื่องจาก Cisco ประกาศ End of Life แล้ว

Cisco ยังได้ประกาศเพิ่มเติมกำลังดำเนินการแก้ไขช่องโหว่ของ cross-site scripting (XSS) ส่วนของเครื่องมือระบบการจัดการเซิร์ฟเวอร์ Prime Collaboration Deployment (PCD) โดยมาจากการรายงานของ Pierre Vivegnis จาก Cyber Security Center (NCSC) ของ NATO เกี่ยวกับช่องโหว่ Zero-day เมื่อเดือนเมษายน 2566 ที่ผ่านมา

อ้างอิง : bleepingcomputer.com, sec.cloudapps.cisco.com