Cisco Çarşamba günü, geçen ayın sonlarında NVIDIA Veri Düzlemi Geliştirme Kitinde (MLNX_DPDK) açıklanan yüksek önemdeki bir zayıflık da dahil olmak üzere ürünlerini etkileyen üç güvenlik kusurunu gidermek için yamalar yayınladı.
CVE-2022-28199 (CVSS puanı: 8.6) olarak izlenen güvenlik açığı, DPDK’nın ağ yığınında uygun hata işleme eksikliğinden kaynaklanır ve uzak bir saldırganın bir hizmet reddi (DoS) durumunu tetiklemesine ve üzerinde bir etkiye neden olmasına olanak tanır. veri bütünlüğü ve gizliliği.
Cisco, 7 Eylül’de yayınlanan bir bildiride, “Cihaz arayüzünde bir hata durumu gözlemlenirse, cihaz yeniden yüklenebilir veya trafik alamayarak hizmet reddi (DoS) durumuna neden olabilir” dedi.
DPDK, hızlı paket işleme için bir dizi kitaplık ve optimize edilmiş ağ arabirim kartı (NIC) sürücüsü anlamına gelir ve yüksek hızlı ağ uygulamaları için bir çerçeve ve ortak API sunar.
Cisco, ürün serisini araştırdığını ve hatadan etkilenecek aşağıdaki hizmetleri belirlediğini ve ağ ekipmanı üreticisinin yazılım güncellemelerini yayınlamasını istediğini söyledi:
- Cisco Catalyst 8000V Uç Yazılım
- Uyarlanabilir Güvenlik Sanal Uygulaması (ASAv) ve
- Secure Firewall Threat Defense Virtual (eski adıyla FTDv)
Cisco, CVE-2022-28199’un yanı sıra, Cisco SD-WAN vManage Yazılımında “VPN0 mantıksal ağına erişimi olan, kimliği doğrulanmamış, bitişik bir saldırganın, etkilenen bir sistemdeki mesajlaşma hizmeti bağlantı noktalarına da erişmesine izin verebilecek” bir güvenlik açığını da çözmüştür. “
Şirket, CVE-2022-20696 tanımlayıcısına atanan (CVSS puanı: 7.5) eksikliği, mesajlaşma sunucusu konteyner bağlantı noktalarında “yeterli koruma mekanizmalarının” olmamasına bağladı. Güvenlik açığını bildirdiği için Orange Business’a teşekkür etti.
Cisco, açığın başarılı bir şekilde kullanılmasının, saldırganın mesajları görüntülemesine ve mesajlaşma servisine yerleştirmesine izin verebileceğini ve bunun da yapılandırma değişikliklerine veya sistemin yeniden yüklenmesine neden olabileceğini söyledi.
Cisco tarafından düzeltilen üçüncü bir kusur, Cisco Webex Uygulamasının mesajlaşma arayüzündeki (CVE-2022-20863, CVSS puanı: 4.3) bir güvenlik açığıdır; bu, kimliği doğrulanmamış, uzak bir saldırganın bağlantıları veya diğer içeriği değiştirmesine ve kimlik avı saldırıları gerçekleştirmesine olanak sağlayabilir.
“Bu güvenlik açığı, etkilenen yazılımın karakter oluşturmayı düzgün bir şekilde işlemediği için var” dedi. “Bir saldırgan, uygulama arabirimi içinde iletiler göndererek bu güvenlik açığından yararlanabilir.”
Cisco, güvenlik açığını keşfedip bildirdiği için Binance Red Team’den Rex, Bruce ve Zachery’ye teşekkür etti.
Son olarak, Cisco Small Business RV110W, RV130, RV130W ve RV215W Yönlendiricilerini etkileyen bir kimlik doğrulama atlama hatasının (CVE-2022-20923, CVSS puanı: 4.0) ayrıntılarını da açıkladı ve ürünlerin sona ermesi nedeniyle düzeltilmeyeceğini söyledi. yaşam süresi (EOL).
Kullanıcıları “Cisco Small Business RV132W, RV160 veya RV160W Yönlendiricilerine geçmeye” teşvik eden “Cisco, güvenlik açığını gidermek için yazılım güncellemeleri yayınlamadı ve yayınlamayacak” dedi.