Cisco bu hafta, Expressway Serisini ve bir saldırgan tarafından yükseltilmiş ayrıcalıklar elde etmek ve rastgele kod yürütmek için kullanılabilecek Cisco TelePresence Video İletişim Sunucusunu (VCS) etkileyen yeni bir kritik güvenlik açıkları turunu ele almak için yamalar gönderdi.
İki kusur – şu şekilde izlendi: CVE-2022-20754 ve CVE-2022-20755 (CVSS puanları: 9.0) – Etkilenen sistemler üzerinde ciddi etkileri olabilecek iki ürünün API ve web tabanlı yönetim arayüzlerinde rastgele bir dosya yazma ve komut ekleme hatasıyla ilgilidir.
Şirket, her iki sorunun da, kullanıcı tarafından sağlanan komut argümanlarının yetersiz giriş doğrulamasından kaynaklandığını, kimliği doğrulanmış, uzak bir saldırgan tarafından dizin geçiş saldırıları gerçekleştirmek, rastgele dosyaların üzerine yazmak ve temel işletim sisteminde kötü amaçlı kod çalıştırmak için silahlandırılabilecek bir zayıflıktan kaynaklandığını söyledi. kök kullanıcı olarak.
Şirket, Çarşamba günü yayınlanan danışma belgesinde, “Bu güvenlik açıkları, Cisco Gelişmiş Güvenlik Girişimleri Grubu’ndan (ASIG) Jason Crowder tarafından dahili güvenlik testleri sırasında bulundu” dedi.
Cisco tarafından ayrıca StarOS, Cisco Identity Services Engine RADIUS Service ve Cisco Ultra Cloud Core – Abone Mikro Hizmetler Altyapısı yazılımındaki diğer üç kusur da ele alınmaktadır.
- CVE-2022-20665 (CVSS puanı: 6.0) – Cisco StarOS’ta, yönetici kimlik bilgilerine sahip bir saldırganın kök ayrıcalıklarıyla rastgele kod yürütmesine izin verebilecek bir komut yerleştirme güvenlik açığı
- CVE-2022-20756 (CVSS puanı: 8.6) – Hizmet reddi (DoS) güvenlik açığı YARIÇAP özelliği Cisco Identity Services Engine (ISE)
- CVE-2022-20762 (CVSS puanı: 7.8) – Cisco Ultra Bulut Çekirdeği – Abone Mikro Hizmetler Altyapısı (SMI) yazılımının Ortak Yürütme Ortamı (CEE) ConfD CLI’sinde kimliği doğrulanmış, yerel bir saldırganın kök ayrıcalıklarına yükselmesine izin verebilecek bir ayrıcalık yükseltme kusuru
Cisco ayrıca, güvenlik açıklarından kötü niyetli olarak yararlanıldığına dair hiçbir kanıt bulunmadığını ve bunların ya dahili güvenlik testi sırasında ya da bir Cisco Teknik Yardım Merkezi (TAC) destek vakasının çözümü sırasında bulunduğunu da sözlerine ekledi.
Ancak yine de, müşterilerin olası herhangi bir vahşi saldırıyı azaltmak için mümkün olan en kısa sürede en son sürümlere güncelleme yapmaları isteniyor.
