Site icon Kiber.ba

Cisco je zakrpio 27 ranjivosti u proizvodima za mrežnu sigurnost

Cisco je zakrpio 27 ranjivosti u proizvodima za mrežnu sigurnost - Kiber.ba

Cisco je zakrpio 27 ranjivosti u proizvodima za mrežnu sigurnost - Kiber.ba

Cisco je u srijedu najavio ažuriranja softvera koja rješavaju ukupno 27 ranjivosti u proizvodima Adaptive Security Appliance (ASA), Firepower Management Center (FMC) i Firepower Threat Defense (FTD).

Kao dio svoje polugodišnje paketne publikacije, tehnološka kompanija objavila je ukupno 22 sigurnosna savjeta koji opisuju kritične, visoke i srednje ozbiljne nedostatke u tri mrežna sigurnosna proizvoda.

Najozbiljniji od ovih problema je CVE-2023-20048 (CVSS rezultat 9,9), greška ubrizgavanja komande u FMC koja je rezultat „nedovoljne autorizacije konfiguracionih komandi koje se šalju preko interfejsa veb usluge“ pogođenog proizvoda.

Provjereni napadač mogao bi koristiti izrađene HTTP zahtjeve da iskoristi ranjivost i izvrši konfiguracijske naredbe na ciljanom FTD uređaju, objašnjava Cisco.

Cisco je u srijedu objavio sedam savjeta u kojima je detaljno opisano osam ozbiljnih nedostataka u ASA, FMC i FTD softveru. Pet grešaka bi moglo dovesti do uskraćivanja usluge (DoS), a preostale tri dozvoljavaju ubacivanje komande.

DoS greške utiču na ICMPv6 obradu, udaljeni pristup VPN, internu obradu paketa i ICMPv6 inspekciju sa Snort 2 funkcijama detekcije i API za evidentiranje pogođenih proizvoda.

18 nedostataka srednje ozbiljnosti koje je Cisco popravio ove sedmice u ASA, FMC i FTD mogao bi dovesti do uvjeta DoS-a, proizvoljnog preuzimanja datoteka, SAML assertion hijacka, cross-site scriptinga (XSS), zaobilaženja politike, zaobilaženja uređaja za detekciju, zaobilaženja autentifikacije certifikata i zaobilaženja filtriranje geolokacije.

Problem srednje ozbiljnosti koji se izdvaja iz gomile je CVE-2022-20713, udaljena, neautorizovana ranjivost krijumčarenja zahtjeva na strani klijenta u komponenti VPN web klijentskih usluga ASA i FTD softvera.

Problem je prvobitno označen 10. avgusta 2022. godine, ali je Cisco-u trebalo više od godinu dana da obezbjedi zakrpe za njega. Međutim, uprkos javnoj dostupnosti koda za iskorištavanje dokaza o konceptu (PoC), izgleda da se greška ne iskorištava u zlonamjernim napadima.

U stvari, ovaj tehnološki gigant kaže da nije svjestan in-the-wild napada koji ciljaju na bilo koju ranjivost koja se rješava najnovijim ažuriranjima softvera ASA, FMC i FTD.

Izvor: SecurityWeek

Exit mobile version