Nhà sản xuất thiết bị mạng Cisco đã phát hành các bản cập nhật bảo mật để giải quyết ba lỗ hổng nghiêm trọng cao trong các sản phẩm của mình có thể bị khai thác để gây ra tình trạng từ chối dịch vụ (DoS) và kiểm soát các hệ thống bị ảnh hưởng.
Lỗ hổng đầu tiên trong ba lỗ hổng, CVE-2022-20783 (điểm CVSS: 7,5), ảnh hưởng đến Phần mềm Kết thúc Hợp tác Cisco TelePresence (CE) và Phần mềm Cisco RoomOS, và xuất phát từ việc thiếu xác nhận đầu vào thích hợp, cho phép kẻ tấn công từ xa không xác thực gửi lưu lượng truy cập được chế tạo đặc biệt đến các thiết bị.
“Một khai thác thành công có thể cho phép kẻ tấn công khiến thiết bị bị ảnh hưởng khởi động lại bình thường hoặc khởi động lại vào chế độ bảo trì, điều này có thể dẫn đến tình trạng DoS trên thiết bị”, công ty lưu ý trong một tư vấn.
Được ghi nhận với việc phát hiện và báo cáo lỗ hổng là Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Vấn đề đã được giải quyết trong cisco TelePresence CE Software phiên bản 9.15.10.8 và 10.11.2.2.
CVE-2022-20773 (điểm CVSS: 7,5), lỗ hổng thứ hai được vá, liên quan đến khóa máy chủ SSH tĩnh có trong Cisco Umbrella Virtual Appliance (VA) chạy phiên bản phần mềm sớm hơn 3.3.2, có khả năng cho phép kẻ tấn công thực hiện cuộc tấn công man-in-the-middle (MitM) vào kết nối SSH và chiếm quyền điều khiển thông tin quản trị viên.
Một lỗ hổng nghiêm trọng thứ ba là một trường hợp leo thang đặc quyền trong Cisco Virtualized Infrastructure Manager (CVE-2022-20732, điểm CVSS: 7,8) cho phép một kẻ tấn công địa phương được xác thực để leo thang các đặc quyền trên thiết bị. Nó đã được giải quyết trong phiên bản 4.2.2 của phần mềm.
“Việc khai thác thành công có thể cho phép kẻ tấn công có được thông tin đăng nhập cơ sở dữ liệu nội bộ, mà kẻ tấn công có thể sử dụng để xem và sửa đổi nội dung của cơ sở dữ liệu. Kẻ tấn công có thể sử dụng quyền truy cập này vào cơ sở dữ liệu để nâng cao đặc quyền trên thiết bị bị ảnh hưởng”, công ty cho biết.
Cũng được Cisco giải quyết là 10 lỗi trung bình nghiêm trọng kéo dài danh mục sản phẩm của mình, bao gồm Webex Meeting, Unified Communications Products, Umbrella Secure Web Gateway và IOS XR Software.
Đăng nhận xét
Đăng nhận xét