เมื่อสัปดาห์ที่แล้ว ซิสโก้ได้ออกประกาศแจ้งเตือนด้านความปลอดภัยสำหรับบั๊กจำนวน 25 รายการที่กระทบกับผลิตภัณฑ์ของตนเองบางอย่าง โดยกว่า 2 ใน 3 นั้นถูกจัดอันดับความร้ายแรงอยู่ในขั้นสูง ส่วนใหญ่เป็นช่องโหว่ที่เปิดช่องการโจมตีแบบ Denial-of-Service (DoS) ที่อยู่บนซอฟต์แวร์ IOS และ IOS XE
มีแค่สองรายการที่เกี่ยวข้องผลิตภัณฑ์อื่นอย่าง Catalyst 6800 Series Switches ROM Monitorและ Webex Meetings Client ส่วนช่องโหว่ด้านอื่นได้แก่การเปิดช่องให้ข้อมูลในหน่วยความจำรั่วไหล, การเปิดให้ใส่คำสั่งได้จากภายนอก, การยกระดับสิทธิ์การใช้งานโดยไม่ได้รับอนุญาต, การข้ามระบบยืนยันตัวตน, การรันโค้ดอันตราย, และการเข้าถึงเขลล์ระดับรูท
ช่องโหว่เหล่านี้ส่วนใหญ่ถูกจัดว่าร้ายแรงมาก เนื่องจากอาชญากรสามารถนำไปใช้โจมตีจากระยะไกลได้โดยไม่ต้องผ่านระบบยืนยันตัวตน ตัวอย่างเช่น ช่องโหว่ DoS ที่ผู้โจมตีระยะไกลสามารถเจาะระบบผ่านหน้าเว็บของ IOS XE ได้ จนสามารถบังคับให้อุปกรณ์รีบูทตัวเองใหม่ได้เพียงแค่ส่งคำร้องขอ HTTP ที่ออกแบบมาเป็นพิเศษไปยังหน้าเว็บดังกล่าวเท่านั้น
ปัญหาส่วนใหญ่นั้นพบว่าเกิดจากการตรวจสอบข้อมูลที่ป้อนเข้า หรือการประมวลผลแพ๊กเก็ตข้อมูลที่ไม่ถูกต้อง นอกจากนี้ซิสโก้ยังออกรายงานผลิตภัณฑ์กว่า 80 รายการที่โดนผลกระทบของบั๊ก FragmentSmack DoS ที่เพิ่งมีข่าวไปเมื่อเร็วๆ นี้ด้วย โดยบริษัทมีแผนจะออกแพ็ตช์ภายในเดือนนี้
ที่มา : Bleepingcomputer
