Ağ ekipmanı üreticisi Cisco, ürünlerinde hizmet reddi (DoS) durumuna neden olmak ve etkilenen sistemlerin kontrolünü ele geçirmek için kullanılabilecek yüksek önemdeki üç güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.

Üç kusurdan ilki, CVE-2022-20783 (CVSS puanı: 7.5), Cisco TelePresence İşbirliği Uç Noktası (CE) Yazılımını ve Cisco RoomOS Yazılımını etkiler ve doğru giriş doğrulama eksikliğinden kaynaklanır ve kimliği doğrulanmamış, uzak bir saldırganın cihazlara özel hazırlanmış trafik göndermesine izin verir.

Şirket, “Başarılı bir güvenlik açığı, saldırganın, etkilenen cihazın normal şekilde yeniden başlatılmasına veya bakım moduna yeniden başlatılmasına neden olmasına izin verebilir, bu da cihazda bir DoS durumuna neden olabilir.” not alınmış bir danışma belgesinde.

ABD Ulusal Güvenlik Ajansı (NSA), kusuru keşfetme ve bildirme konusunda kredilendirildi. Bu sorun, Cisco TelePresence CE Yazılımı 9.15.10.8 ve 10.11.2.2 sürümlerinde ele alınmıştır.

CVE-2022-20773 (CVSS puanı: 7.5), yamalanacak ikinci kusur, 3.3.2’den önceki bir yazılım sürümünü çalıştıran Cisco Umbrella Virtual Appliance’da (VA) bulunan statik bir SSH ana bilgisayar anahtarıyla ilgilidir ve bu, bir saldırganın bir man-in gerçekleştirmesine potansiyel olarak izin verir. -ortada (MitM) bir SSH bağlantısına saldırır ve yönetici kimlik bilgilerini ele geçirir.

Üçüncü bir yüksek önem düzeyine sahip güvenlik açığı, Cisco Virtualized Infrastructure Manager’da bir ayrıcalık yükseltme durumudur (CVE-2022-20732, CVSS puanı: 7.8), kimliği doğrulanmış, yerel bir saldırganın aygıtlarda ayrıcalıkları yükseltmesini sağlar. Yazılımın 4.2.2 sürümünde çözülmüştür.

Şirket, “Başarılı bir açıktan yararlanma, saldırganın, veritabanının içeriğini görüntülemek ve değiştirmek için kullanabileceği dahili veritabanı kimlik bilgilerini almasına izin verebilir. Saldırgan, etkilenen cihazdaki ayrıcalıkları yükseltmek için veritabanına bu erişimi kullanabilir” dedi. dedim.

Ayrıca Cisco tarafından ele alınan 10 orta şiddette hata Webex Meeting, Tümleşik İletişim Ürünleri, Umbrella Secure Web Gateway ve IOS XR Yazılımı dahil olmak üzere ürün portföyünü genişletiyor.



siber-2