CISA เพิ่มช่องโหว่ของ Array Networks AG และ vxAG ArrayOS ลงในแคตตาล็อก (KEV)

423/67 (IT) ประจำวันพุธที่ 27 พฤศจิกายน 2567

หน่วยงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เพิ่มช่องโหว่ CVE-2023-28461 มีคะแนน CVSS สูงถึง 9.8 ใน Array Networks AG Series และ vxAG ArrayOS (เวอร์ชัน 9.4.0.481 หรือต่ำกว่า) ลงในแคตตาล็อก Known Exploited Vulnerabilities (KEV)

ช่องโหว่ดังกล่าวทำให้ให้ผู้โจมตีสามารถใช้ประโยชน์จาก SSL VPN Gateway ผ่านการเข้าถึงไฟล์ระบบโดยไม่ต้องยืนยันตัวตน โดยการส่งคำขอ HTTP ที่มี flags attribute ในส่วนหัวและใช้ URL ที่มีช่องโหว่ ซึ่งผู้โจมตีสามารถ remote code execution และเข้าควบคุมระบบได้     

เพื่อป้องกันและลดความเสี่ยงจากช่องโหว่เหล่านี้ หน่วยงานภายใต้การกำกับดูแลของ Federal Civilian Executive Branch (FCEB) จะต้องแก้ไขช่องโหว่ภายในเวลาที่กำหนด โดย CISA กำหนดให้หน่วยงานรัฐบาลต้องแก้ไขช่องโหว่นี้ภายในวันที่ 16 ธันวาคม 2024 เพื่อป้องกันการถูกใช้ประโยชน์จากช่องโหว่ดังกล่าว

แหล่งข่าว https://securityaffairs.com/171395/hacking/u-s-cisa-adds-array-networks-ag-and-vxag-arrayos-flaw-to-its-known-exploited-vulnerabilities-catalog.html