CamSA22-40: ចំណុចខ្សោយធ្ងន់ធ្ងរបំផុតជាច្រើនមាននៅក្នុងផលិតផល Cisco

១.ព័ត៌មានទូទៅ

ក្រុមហ៊ុន Cisco បានបញ្ចេញបច្ចុប្បន្នភាពសន្ដិសុខដើម្បីជួសជុលចំណុចខ្សោយក្នុងផលិតផលរបស់ខ្លួនមួយចំនួន។ ហេកគ័រពីចម្ងាយអាចប្រើចំណុចខ្សោយទាំងនេះដើម្បីលួចចូលគ្រប់គ្រងប្រព័ន្ធប៉ះពាល់បាន។ អ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រងប្រព័ន្ធគួរត្រួតពិនិត្យអត្ថបទប្រឹក្សាខាងក្រោមនិងធ្វើបច្ចុប្បន្នភាពតាមការចាំបាច់៖

  • CVE-2022-20929: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco Enterprise NFVIS ដោយសារតែកម្មវិធីមានកំហុសឆ្គងលើការការផ្ទៀងផ្ទាត់ហត្ថលេខា(signature) តាមរយៈចំណុចខ្សោយនេះអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រក្នុងបណ្ដាញធ្វើការបញ្ចូលនៅឯកសារ file ក្លែងក្លាយទៅកាន់អ្នកគ្រប់គ្រងប្រព័ន្ធ និងអាចប្រតិបត្តិកូដបំពាននៅលើប្រព័ន្ធដែលជាគោលដៅបានដោយជោគជ័យ
  • CVE-2022-20814, CVE-2022-20853: ចំណុចខ្សោយទាំងនេះមាននៅក្នុងកម្មវិធី API, web-based management interface of Cisco Expressway និងកម្មវិធី Cisco TelePresence Video Communication Server (VCS) ដោយសារតែកម្មវិធីមិនបានធ្វើការត្រួតពិនិត្យកម្រិតសុវត្ថិភាពឱ្យបានត្រឹមត្រូវ​ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ អាចធ្វើការរំលងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រ (bypass certificate) ឬធ្វើការវាយប្រហារបែប cross-site request forgery លើឧបករណ៍ដែលប៉ះពាល់។

2.ផលិតផលប៉ះពាល់

  • ការកំណត់ដើមនៃកម្មវិធី Cisco Enterprise NFVIS
  • Cisco Expressway Series
    • ឧបករណ៍ Expressway Control (Expressway-C)
    • ឧបករណ៍ Expressway Edge (Expressway-E)
  • កម្មវិធីរបស់ Cisco TelePresence Video Communication Server (VCS)

3.ផលប៉ះពាល់

ការវាយប្រហារដោយជោគជ័យទៅលើបណ្ដាចំណុចខ្សោយខាងលើនេះអាចអនុញ្ញាតឱ្យហេកគ័រចូលគ្រប់គ្រងប្រព័ន្ធ រំលងការផ្ទៀងផ្ទាត់វិញ្ញាបនបត្រដើម្បីចូលមើល​ ឬកែប្រែខ្លឹមសារនៃការសន្ទនា​ ឬក្លែងខ្លួនជាឧបករណ៍សន្ទនា ឬវាយប្រហារបែប cross-site request forgery (CSRF) ធ្វើឱ្យប្រព័ន្ធបិទបើកឡើងវិញ។

4.អនុសាសន៍ណែនាំ

ការិយាល័យ CamCERT សូមណែនាំដល់អ្នកប្រើប្រាស់ឱ្យធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលបានរងផលប៉ះពាល់ខាងលើ​ជាបន្ទាន់​ទៅកាន់កំណែចុងក្រោយបំផុត(Latest version)។

5.ឯកសារពាក់ព័ន្ធ

អត្ថបទជាប់ទាក់ទង

  • សិង្ហបុរីគ្រោងបង្កើតច្បាប់ទប់ស្កាត់ប្រជាពលរដ្ឋក្នុងការទូទាត់ប្រាក់ទៅកាន់ជនឆបោក

  • 💳 តើគួរការពារបណ្ណឥណទានរបស់អ្នកតាមប្រព័ន្ធអុីនធឺណិតដោយរបៀបណា?

  • ប្លុកឆេន (Blockchain)