Çarşamba günü Cisco, adrese yönelik yamalar çıkardı üç güvenlik açığı geçen ayın sonlarında NVIDIA Veri Düzlemi Geliştirme Kitinde (MLNX_DPDK) açıklanan yüksek önemdeki bir zayıflık da dahil olmak üzere ürünlerini etkiliyor.
olarak izlendi CVE-2022-28199 (CVSS puanı: 8.6), güvenlik açığı, DPDK’nın ağ yığınında uygun hata işleme eksikliğinden kaynaklanır ve uzak bir düşmanın bir hizmet reddi (DoS) durumunu tetiklemesine ve veri bütünlüğü ve gizliliği üzerinde bir etkiye neden olmasına olanak tanır.
“Cihaz arayüzünde bir hata durumu gözlemlenirse, cihaz yeniden yüklenebilir veya trafiği alamayarak hizmet reddi (DoS) durumuna neden olabilir,” Cisco söz konusu 7 Eylül’de yayınlanan bir bildiride.
DPDK hızlı paket işleme için bir dizi kitaplık ve optimize edilmiş ağ arabirim kartı (NIC) sürücüsü anlamına gelir ve yüksek hızlı ağ uygulamaları için bir çerçeve ve ortak API sunar.
Cisco, ürün serisini araştırdığını ve hatadan etkilenecek aşağıdaki hizmetleri belirlediğini ve ağ ekipmanı üreticisinin yazılım güncellemelerini yayınlamasını istediğini söyledi:
- Cisco Catalyst 8000V Uç Yazılım
- Uyarlanabilir Güvenlik Sanal Uygulaması (ASAv) ve
- Secure Firewall Threat Defense Virtual (eski adıyla FTDv)
Cisco, CVE-2022-28199’un yanı sıra, Cisco SD-WAN vManage Yazılımında “VPN0 mantıksal ağına erişimi olan, kimliği doğrulanmamış, bitişik bir saldırganın, etkilenen bir sistemdeki mesajlaşma hizmeti bağlantı noktalarına da erişmesine izin verebilecek” bir güvenlik açığını da çözmüştür. “
Şirket eksikliği suçladı – tanımlayıcıyı atadı CVE-2022-20696 (CVSS puanı: 7.5) – mesajlaşma sunucusu konteyner portlarında “yeterli koruma mekanizmalarının” bulunmaması durumunda. Güvenlik açığını bildirdiği için Orange Business’a teşekkür etti.
Cisco, açığın başarılı bir şekilde kullanılmasının, saldırganın mesajları görüntülemesine ve mesajlaşma hizmetine yerleştirmesine izin verebileceğini ve bunun da yapılandırma değişikliklerine veya sistemin yeniden yüklenmesine neden olabileceğini söyledi.
Cisco tarafından düzeltilen üçüncü bir kusur, Cisco Webex Uygulamasının mesajlaşma arayüzündeki bir güvenlik açığıdır (CVE-2022-20863CVSS puanı: 4.3), bu, kimliği doğrulanmamış, uzak bir saldırganın bağlantıları veya diğer içeriği değiştirmesine ve kimlik avı saldırıları gerçekleştirmesine olanak sağlayabilir.
“Bu güvenlik açığı, etkilenen yazılımın karakter oluşturmayı düzgün bir şekilde işlemediği için var” dedi. “Bir saldırgan, uygulama arabirimi içinde iletiler göndererek bu güvenlik açığından yararlanabilir.”
Cisco, güvenlik açığını keşfedip bildirdiği için Binance Red Team’den Rex, Bruce ve Zachery’ye teşekkür etti.
Son olarak, bir kimlik doğrulama atlama hatasının ayrıntılarını da açıkladı (CVE-2022-20923CVSS puanı: 4.0) Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiricilerini etkiliyor ve ürünlerin kullanım ömrünün sonuna (EOL) ulaştığı için düzeltilmeyeceğini söyledi.
Şirket, kullanıcıları “Cisco Small Business RV132W, RV160 veya RV160W Yönlendiricilerine geçiş yapmaya” teşvik ederek “Cisco, güvenlik açığını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacak” dedi.