พบช่องโหว่ใหม่บนหน้า Interface การจัดการบนเว็บไซต์ของซอฟต์แวร์ Cisco Identity Services Engine (ISE) รหัสช่องโหว่คือ CVE-2021-34759 ที่อนุญาตให้ผู้โจมตีระยะไกลที่ได้รับอนุญาตในการเข้าถึง สามารถทำการโจมตีด้วย Cross-site script (XSS) ได้ โดยการโจมตี Cross-site script (XSS) เป็นเพียงจุดเริ่มต้นที่จะสร้างความเสี่ยหายอื่นๆต่อไป
ช่องโหว่นี้เกิดขึ้นเนื่องจาก Interface การจัดการบนเว็บไม่สามารถตรวจสอบความถูกต้องของข้อมูลที่ User-supplied input ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้โดยการ Injecting Malicious Code ที่เป็นอันตรายลงในหน้าเฉพาะของ Interface การเจาะช่องโหว่ที่ประสบความสําเร็จอาจทําให้ผู้โจมตีสามารถเรียกใช้โค้ดสคริปต์โดยพลการใน Context ของ Interface หรือเข้าถึงข้อมูลที่ละเอียดอ่อนบน Browser ได้ เมื่อต้องการใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจะต้องมีข้อมูล administrative credentials.
ระดับความรุนแรง
คะแนน CVSS: Base 4.8
ผลิตภัณฑ์ที่ได้รับผลกระทบ
Cisco Identity Service Engine (ISE) เป็นผลิตภัณฑ์ดูแลระบบเครือข่ายที่ช่วยให้สามารถสร้างและบังคับใช้นโยบายความปลอดภัยและการเข้าถึงสำหรับอุปกรณ์ปลายทางที่เชื่อมต่อกับ Router และ Switch ของบริษัทโดยอัตโนมัติ จุดประสงค์คือเพื่อลดความซับซ้อนในการจัดการข้อมูลประจำตัวในอุปกรณ์และแอปพลิเคชันที่หลากหลาย
ระหว่างการเผยแพร่ช่องโหว่นี้ ส่งผลกระทบต่อซอฟต์แวร์ Cisco ISE ดังต่อไปนี้
- 2 Patch17 and earlier
- 3 Patch7 and earlier
- 4 Patch14 and earlier
- 6 Patch9 and earlier
- 7 Patch4 and earlier
- 0 Patch3 and earlier
การโจมตีและช่องโหว่ประเภท Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) หรือที่เรียกว่าการเขียนสคริปต์ข้ามไซต์ เป็นช่องโหว่ด้านความปลอดภัยของเว็บไซต์ที่ผู้โจมตีมีจุดมุ่งหมายเพื่อรันสคริปต์ที่เป็นอันตรายบนเว็บเบราว์เซอร์ของเหยื่อ โดยทำการรวมโค้ดที่เป็นอันตรายในหน้าเว็บหรือเว็บแอปพลิเคชันที่มีช่องโหว่
การโจมตีจะเกิดขึ้นเมื่อเหยื่อเข้าชมหน้าเว็บหรือเว็บแอปพลิเคชันที่รันโค้ดที่เป็นอันตราย หน้าเว็บหรือเว็บแอปพลิเคชันกลายเป็นเครื่องมือในการส่งสคริปต์ที่เป็นอันตรายไปยังเบราว์เซอร์ของผู้ใช้ หากผู้ใช้ที่เป็นเหยื่อมีสิทธิพิเศษในการเข้าถึงภายในแอปพลิเคชัน ผู้โจมตีอาจจะสามารถควบคุมการทำงานและข้อมูลทั้งหมดของแอปพลิเคชันได้อย่างเต็มที่
ช่องทางที่มักจะถูกใช้เป็นเครื่องมือในการโจมตีแบบ XSS คือ ฟอรั่ม เว็บบอร์ด และหน้าเว็บที่อนุญาตให้แสดงความคิดเห็น
Cross-Site Scripting (XSS) ทำงานอย่างไร
XSS ทำงานโดยจัดการเว็บไซต์ที่มีช่องโหว่ เพื่อส่ง JavaScript ที่เป็นอันตรายให้กับผู้ใช้ เมื่อโค้ดที่เป็นอันตรายทำงานภายในเบราว์เซอร์ของเหยื่อ ผู้โจมตีสามารถใช้ประโยชน์จากการโจมตีครั้งนี้ได้หลากหลาย เช่น
- ปลอมตัวเป็นผู้ใช้งาน เพื่อเข้าถึงข้อมูลต่างๆของผู้ใช้งาน
- JavaScript สามารถอ่าน DOM ของเบราว์เซอร์และทำการปรับเปลี่ยนโดยพลกาลได้ โชคดีที่สามารถทำได้เฉพาะในหน้าเว็บที่ JavaScript ทำงานอยู่
- เขียน JavaScript KeyLocker เพื่อใช้ดักจับ username และ password
- JavaScript สามารถใช้ XMLHttpRequest เพื่อส่งคำขอ HTTP พร้อมเนื้อหาที่กำหนดเองไปยังปลายทางที่ต้องการ
- Link ผู้ใช้งานไปยังเว็บไซต์ที่เป็นอันตราย
- จัดการแก้ไขไฟล์ในเว็บเบราเซอร์ของผู้ใช้งาน
- JavaScript ในเบราว์เซอร์สมัยใหม่สามารถใช้ HTML5 API ได้ ตัวอย่างเช่น สามารถเข้าถึงตำแหน่งทางภูมิศาสตร์ของผู้ใช้ เว็บแคม ไมโครโฟน หรือแม้แต่ไฟล์ของผู้ใช้ API เหล่านี้ส่วนใหญ่ต้องการให้ผู้ใช้เลือกใช้ แต่ผู้โจมตีสามารถใช้ Social Engineering เพื่อข้ามขีดจำกัดนั้นได้
จากข้อมูลข้างต้น แสดงให้เห็นได้ว่า XSS เป็นจุดเริ่มต้นที่จะนำไปสู่การโจมตีที่อันตรายและร้ายแรงยิ่งขึ้น หรือการโจมตีร่วมกับการโจมตีประเภทอื่นๆได้อีกด้วย
วิธีแก้ไขปัญหา
Cisco ได้เผยแพร่การอัปเดตซอฟต์แวร์สำหรับการแก้ไขจุดอ่อนจากช่องโหว่นี้แล้ว แต่ยังไม่มีวิธีแก้ปัญหาที่สามารถจัดการกับช่องโหว่นี้ได้
เอกสารอ้างอิง
