Vá các lỗ hổng nghiêm trọng trong các sản phẩm Cisco

[WhiteHat News #ID:2018]

Tuần trước, Cisco đã phát hành bản vá cho các lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến các sản phẩm SD-WAN, DNA Center, TelePresece, StarOS, bộ định tuyến RV, Prime Service Catalog và Meeting Server.

Theo Cisco, trung tâm kiến trúc mạng kỹ thuật số (DNA) bị ảnh hưởng bởi lỗ hổng nghiêm trọng cho phép kẻ tấn công vượt qua xác thực và truy cập vào các dịch vụ nội bộ quan trọng.

Cùng với đó, giải pháp giao diện dòng lệnh SD-WAN bị ảnh hưởng bởi một lỗ hổng nghiêm trọng có thể bị kẻ tấn công khai thác nhằm leo thang đặc quyền, từ đó root và thay đổi cấu hình hệ thống.

SD-WAN còn bị ảnh hưởng bởi lỗ hổng có mức độ nghiêm trọng cao cho phép leo thang đặc quyền thông qua giao diện người dùng web vManage, cùng một vấn đề an ninh khác có thể bị hacker khai thác để xác thực từ xa và thực thi các lệnh với đặc quyền root.

Một lỗ hổng DoS có mức độ nghiêm trọng cũng ‘cao’ được tìm thấy trên hệ điều hành StarOS và một số bộ định tuyến RV, có thể bị thác từ xa mà không cần xác thực.

Các lỗ hổng khác được vá trong lần này bao gồm cross-site request forgery (CSRF) trong phần mềm Prime Service Catalog và Command injection trong Meeting Server và một số phần mềm TelePresence.

Bên cạnh đó, Cisco cũng đã khắc phục hàng tá sự cố ở mức độ nghiêm trọng trung bình trong Wide Area Application Services (WAAS), bộ định tuyến RV, Prime Service Catalog…

Cisco cho biết, không có bằng chứng nào cho thấy những lỗ hổng này bị khai thác nhằm mục đích xấu. Nhiều lỗ hổng đã được phát hiện bởi chính Cisco trong quá trình kiểm tra nội bộ.

Theo Securityweek​