ผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่อย่าง Cisco ได้ออกแพ็ตช์สำหรับแก้ปัญหาช่องโหว่ร้ายแรงที่กระทบกับเราเตอร์ VPN แบบ Small Business ที่อาจถูกผู้โจมตีจากระยะไกลใช้ประโยชน์ในการรันโค้ดอันตราย รวมทั้งทำให้เกิดสภาวะ Denial-of-Service (DoS) ได้ โดยเป็นช่องโหว่ภายใต้รหัส CVE-2021-1609 (CVSS score: 9.8) และ CVE-2021-1610 (CVSS score: 7.2) ตามลำดับ
ช่องโหว่เหล่านี้อยู่ในส่วนหน้าเว็บจัดการของเราเตอร์ Small Business RV340, RV340W, RV345, และ RV345P ที่เป็นเราเตอร์วีพีเอ็นระดับกิกะบิตแบบ Dual WAN ที่รันเฟิร์มแวร์เวอร์ชั่นก่อนหน้า 1.0.03.22 ซึ่งช่องโหว่ทั้งสองรายการมาจากการที่ไม่ได้มีการตรวจสอบคำร้องขอ HTTP อย่างเหมาะสมเพียงพอ
ทำให้ผู้ไม่หวังดีสามารถส่งข้อมูลคำร้องขอ HTTP ที่ออกแบบมาเป็นพิเศษมาโจมตีอุปกรณ์ที่มีช่องโหว่ได้ โดยการเจาะช่องโหว่ CVE-2021-1609 จะเปิดให้ผู้โจมตีจากระยะไกลเข้ามารันโค้ดอันตรายบนอุปกรณ์ได้โดยไม่ต้องผ่านการยืนยันตัวตน หรือทำให้อุปกรณ์ต้องโหลดตัวเองหมดจนเกิดภาวะ DoS
ขณะที่ช่องโหว่ CVE-2021-1610 เป็นช่องโหว่ที่เปิดให้เจาะใส่คำสั่งลงในอุปกรณ์ ทำให้สามารถก้าวผ่านการยืนยันตัวตนในการรันคำสั่งในระดับ Root บนอุปกรณ์ได้ ช่องโหว่เหล่านี้ถูกค้นพบโดยทาง Chaitin Security Research Lab
ที่มา : THN
