Cisco discloses XSS zero-day flaw in server management tool
Cisco เปิดเผยช่องโหว่แบบ Zero-day ในซอฟต์แวร์ Prime Collaboration Deployment (PCD) ของบริษัท ซึ่งสามารถใช้โจมตีแบบ cross-site scripting ได้ ช่องโหว่นี้ถูกติดตามเป็น CVE-2023-20060 ซึ่งเป็นข้อผิดพลาดในอินเทอร์เฟซการจัดการบนเว็บของ Cisco PCD 14 และก่อนหน้านี้โดย Pierre Vivegnis จาก NATO Cyber Security Center (NCSC) ช่องโหว่นี้ทำให้ผู้โจมตีที่ไม่ผ่านการรับรองความถูกต้องสามารถเริ่มการโจมตีแบบ cross-site scripting ได้จากระยะไกลแต่ต้องมีการโต้ตอบกับผู้ใช้ Cisco ได้อธิบายว่าช่องโหว่นี้เกิดขึ้นเนื่องจากอินเทอร์เฟซการจัดการบนเว็บไม่ตรวจสอบอินพุตที่ผู้ใช้ป้อนอย่างถูกต้อง ผู้โจมตีอาจใช้ประโยชน์จากช่องโหว่นี้ชักชวนผู้ใช้อินเทอร์เฟซให้คลิกลิงก์ที่สร้างขึ้น หากโจมตีสำเร็จอาจทำให้ผู้โจมตีสามารถเรียกใช้ script code ได้ตามต้องการในอินเทอร์เฟซที่ได้รับผลกระทบหรือเข้าถึงข้อมูลที่ละเอียดอ่อนบนเบราว์เซอร์ได้
ในขณะที่ Cisco ได้เปิดเผยข้อมูลเกี่ยวกับผลกระทบของช่องโหว่แล้ว แต่บริษัทจะเผยแพร่การอัปเดตความปลอดภัยเพื่อแก้ไขในช่วงเดือนหน้า สำหรับตอนนี้ยังไม่มีวิธีแก้ไขปัญหาใดๆในการป้องกันการโจมตีที่เกิดขึ้น แต่โชคดีที่ Cisco Product Security Incident Response Team (PSIRT) ยังไม่พบหลักฐานใดๆของการใช้งานที่เป็นอันตรายและไม่พบว่ามีการโจมตีโดยใช้ประโยชน์จากช่องโหว่นี้ที่มุ่งเป้าไปที่บั๊กนี้ นอกจากนี้ Cisco ยังต้องทำการแพตช์ช่องโหว่ Zero-day คือ CVE-2022-20968 ซึ่งเป็นช่องโหว่ของ IP Phone ที่มีความรุนแรงสูงและถูกเปิดเผยต่อสาธารณะไปเมื่อต้นเดือนธันวาคม 2022 แม้ว่าบริษัทจะสัญญาว่าการอัปเดตความปลอดภัยจะออกในเดือนมกราคม 2023 แต่ข้อผิดพลาดดังกล่าวยังคงไม่ได้รับการแพตช์เป็นเวลาหลายเดือนหลังจากการเปิดเผยครั้งแรก
อุปกรณ์ที่ได้รับผลกระทบจาก CVE-2022-20968 รวมถึงโทรศัพท์ Cisco IP ที่ใช้เฟิร์มแวร์ซีรีส์ 7800 และ 8800 เวอร์ชัน 14.2 และรุ่นก่อนหน้า แม้ว่า Cisco จะไม่ได้จัดเตรียมวิธีแก้ไขปัญหาชั่วคราวสำหรับ IP Phone นี้ แต่แนะนำให้ผู้ดูแลระบบใช้มาตรการลดผลกระทบชั่วคราว ซึ่งจำเป็นต้องปิดใช้งาน Cisco Discovery Protocol บนอุปกรณ์ที่ได้รับผลกระทบโดยแนะนำให้ใช้ Link Layer Discovery Protocol (LLDP) เป็นตัวเลือกสำรอง
https://www.bleepingcomputer.com/news/security/cisco-discloses-xss-zero-day-flaw-in-server-management-tool/