Cisco likwiduje luki znajdujące się w systemie operacyjnym IOS XE

Firma załatała trzy krytyczne luki znajdujące się w oprogramowaniu IOS XE, które zarządza niektórymi routerami i przełącznikami obsługującymi rdzenie dużych sieci komputerowych. Wszystkie trzy łaty wchodzą w skład większego pakietu bezpieczeństwa likwidującego 32 podatności, z których wiele jest związanych z systemem IOS XE, w tym z lukami znajdującymi się w zabezpieczeniach zapory sieciowej, oprogramowaniu SD-WAN i oprogramowaniu obsługującym sieci WLAN.

Rys: JanBaby/Pixabay

Z krytycznych luk najgorsza jest ta, która znajduje się w urządzeniu Cisco Catalyst 9000. W skali Common Vulnerability Scoring System (CVSS) uzyskuje ona najwyższą ocenę, czyli 10 punktów. Pozwala ona hakerowi uwierzytelnić się zdalnie, wysyłając do urządzenia odpowiednio spreparowany pakiet CAPWAP. Zawiera on protokół sieciowy, który umożliwia użytkownikom centralne zarządzanie sieciami WLAN. Udany exploit może pozwolić atakującemu na wykonanie dowolnego kodu z uprawnieniami administratora.

Druga krytyczna luka – z oceną CVSS 9,8 – wpływa na oprogramowanie Cisco IOS XE SD-WAN i może pozwolić atakującemu wywołać efekt przepełnienia bufora. Atakujący może wykorzystać tę lukę, wysyłając spreparowany ruch do urządzenia. Ta luka pozwala hakerowi wykonać dowolne polecenia z uprawnieniami na poziomie roota oraz przeprowadzać ataki DDoS.

Zobacz również:

  • Instancje serwerów skonfigurowanych w chmurach padają zbyt często ofiarą hakerów
  • Bezpieczeństwo? Bierzmy się do roboty...
  • Luki, które najczęściej wykorzystują hakerzy

W reszcie trzecia luka, która ma również wysoką ocenę CVSS - 9,8. W tym przypadku chodzi o słabość funkcji uwierzytelniania użytkowników, która może umożliwić osobie atakującej zainstalowanie, manipulowanie lub usunięcie konfiguracji urządzenia, względnie spowodować uszkodzenie pamięci, co skutkuje tym, że urządzenie przestaje świadczyć usługi.

Wszystkie łaty można pobierać z tej witryny.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200