September 21, 2020

Language:

CamSA20-24: ចំណុចខ្សោយធ្ងន់ធ្ងរខ្លាំងចំនួន០៣មាននៅក្នុងផលិតផល Cisco

១. ព័ត៌មានទូទៅ

ក្រុមហ៊ុន Cisco បាន​ចេញ​សេចក្តី​ណែនាំសន្តិសុខបន្ទាន់មួយ​អំពីការធ្វើបច្ចុប្បន្នភាពទៅលើភាពងាយរងគ្រោះ ដើម្បីជួសជុលបិទចន្លោះប្រហោង ​(ចំនុចខ្សោយ) ចំនួន០៣ ចំណុចខ្សោយទាំងនេះត្រូវបានត្រួពិនិត្យឃើញថាមានកម្រិតសុវត្ថិភាពធ្ងន់ធ្ងរខ្លាំង និង​ទាម​ទារ​ឱ្យ​មាន​វិធាន​ការ​ជា​បន្ទាន់​ ដែលមានដូចជា៖

  • CVE-2020-3264: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco SD-WAN Solution ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធចូលប្រព័ន្ធ អាចវាយលុកនឹងធ្វើការអាក់សេស (access) ទិន្នន័យផ្សេងៗនៅក្នុងប្រព័ន្ធ
  • CVE-2020-3266: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី CLI of Cisco SD-WAN Solution ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធចូលប្រព័ន្ធដំណើរការពាក្យបញ្ជាក្នុងសិទ្ធជាអភិបាល (root) នៅលើប្រព័ន្ធប្រតិបត្តិការ
  • CVE-2020-3175: ចំណុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Cisco SD-WAN Solution ដែលអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានសិទ្ធចូលប្រព័ន្ធដំណើរការពាក្យបញ្ជាក្នុងសិទ្ធជាអភិបាល (root) នៅលើប្រព័ន្ធប្រតិបត្តិការ

២. ផលិតផលដែលរងផលប៉ៈពាល់

  • CVE-2020-3264, CVE-2020-3266 និង CVE-2020-3265 – ប៉ះពាល់នៅលើកម្មវិធី Cisco SD-WAN Solution ដែលមានកំណែទាបជាង 19.2.2 ប្រើប្រាស់នៅលើផលិតផលខាងក្រោម៖
    • vBond Orchestrator Software
    • vEdge 100 Series Routers
    • vEdge 1000 Series Routers
    • vEdge 2000 Series Routers
    • vEdge 5000 Series Routers
    • vEdge Cloud Router Platform
    • vManage Network Management Software
    • vSmart Controller Software

៣. ផលវិបាក

ការវាយលុកជោគជ័យទៅលើចំណុចខ្សោយទាំងនេះ អាចមានលទ្ធភាពក្នុងការដំណើរការកូដពីចម្ងាយ (remotely execute)​ លួចយកទិន្នន័យសំខាន់ ពដំណើរការពាក្យបញ្ជាក្នុងសិទ្ធជាអភិបាល និងគ្រប់គ្រងប្រព័ន្ធទាំងស្រុង។

៤.ការណែនាំ

ការិយាល័យ CamCERT សូមធ្វើការណែនាំដល់អ្នកប្រើប្រាស់ សូមធ្វើបច្ចុប្បន្នភាពកម្មវិធីដែលបានរងផលប៉ះពាល់ខាងលើ​ជាបន្ទាន់​ទៅកាន់កំណែចុងក្រោយបំផុត (Latest version)។

៥. វេបសាយពាក់ព័ន្ធ

  • https://tools.cisco.com/security/center/publicationListing.x
  • https://www.us-cert.gov/ncas/current-activity/2020/03/19/cisco-releases-security-updates-sd-wan-solution-software
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.