423/67 (IT) ประจำวันพุธที่ 27 พฤศจิกายน 2567
หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ CVE-2023-28461 มีคะแนน CVSS สูงถึง 9.8 ใน Array Networks AG Series และ vxAG ArrayOS (เวอร์ชัน 9.4.0.481 หรือต่ำกว่า) ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)
ช่องโหว่ดังกล่าวทำให้ให้ผู้โจมตีสามารถใช้ประโยชน์จาก SSL VPN Gateway ผ่านการเข้าถึงไฟล์ระบบโดยไม่ต้องยืนยันตัวตน โดยการส่งคำขอ HTTP ที่มี flags attribute ในส่วนหัวและใช้ URL ที่มีช่องโหว่ ซึ่งผู้โจมตีสามารถ remote code execution และเข้าควบคุมระบบได้
เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่ดังกล่าว