Cisco, ASA ve Firepower’daki kritik güvenlik açığını yamalar


Cisco, etkilenen cihazlar/çözümler hakkında hassas bilgileri sızdırmak için kullanılabilecek çeşitli yazılım güvenlik açıklarını düzeltmek için Çarşamba günü birkaç güvenlik yaması yayınladı.

(CVE-2022-20866) olarak sınıflandırılan güvenlik açığı, Cisco tarafından CVSS ölçeğinde (CVSS puanı: 7.4) yüksek düzeyde kabul edilmiştir. Güvenlik açığı, Cisco Adaptive Security Appliance (ASA) Yazılımı ve Cisco Firepower Threat Defense (FTD) Yazılımı çalıştıran cihazlarda RSA anahtarlarını işlerken bir “mantıksal hata” olarak tanımlandı.

Bu güvenlik açığı, cihazın gizli şifreleme anahtarının ortaya çıkarılmasına izin verecek kalıpları keşfetmek için bir yan kanal saldırısı yoluyla kullanılabilir. Saldırgan bir RSA özel anahtarı alırsa, bunu Cisco ASA Yazılımı veya Cisco FTD Yazılımı çalıştıran bir cihazın kimliğine bürünmek veya cihazdan gelen trafiğin şifresini çözmek için kullanabilir.

Etkilenen Ürünler

Cisco şirketi yakın zamanda etkilenen ürünleri hakkında bir güvenlik tavsiyesi yayınladı:

Çözüm

Cisco, açıklanan güvenlik açıklarını gideren ve Yazılım Merkezi’nden indirilebilen yazılım güncellemeleri yayınladığı etkilenen ürünlerin güncellenmesini ve yamalanmasını önerir.



Source link