พบช่องโหว่ใหม่บน Cisco Router รุ่นเก่า ยังไม่มี Patch

พบช่องโหว่ใหม่บน Cisco Router รุ่นเก่าที่ EoL ไปแล้ว ปัจจุบันยังไม่มี Patch

          Cisco ได้รายงานช่องโหว่ใหม่ (CVE-2022-20923) บน Cisco Small Business Router รุ่น RV110W, RV130, RV130W และ RV215W ซึ่งปัจจุบัน End-of-life (EOL) ไปแล้ว ช่องโหว่นี้เกิดขึ้นในกระบวนการตรวจสอบรหัสผ่านของการใช้งาน IPSec VPN ซึ่งเมื่อเปิดใช้งาน จะทำให้ผู้ไม่หวังดีสามารถเข้าถึงเครือข่ายได้ โดยที่ไม่จำเป็นต้องทำการยืนยันตัวตน โดยอาจได้รับสิทธิเทียบเท่ากับผู้ดูแลระบบได้ทันที ปัจจุบันทีม Product Security Incident Response Team (PSIRT) ยังไม่พบการโจมตีผ่านช่องโหว่นี้เป็นวงกว้างแต่อย่างใด

           อย่างไรก็ตาม ช่องโหว่นี้ยังไม่ได้รับการแพตช์และไม่มี Workaround โดย Cisco ยืนยันจะไม่ทำการออกอัปเดตแพตช์ใดๆ เนื่องจากอุปกรณ์รุ่นดังกล่าวได้ถูกยกเลิกการขายมาตั้งแต่ปลายปี 2019 และอยู่ในสถานะ EoL ไปแล้ว โดยแนะนำให้ผู้ใช้งานเปลี่ยนไปใช้งานรุ่นที่ใหม่กว่าแทน ได้แก่ RV132W, RV160, และ RV160W

 

 

แหล่งที่มา :