Cisco, Ateş Gücü Tehdit Savunması (FTD) cihazlarında kritik bir komut ekleme güvenlik açığını açıkladı.
Ağ satıcısı, CVE-2023-20048 tavsiyesinde, hatanın Ortak Güvenlik Açığı Puanlama Sisteminde 9,9 olarak derecelendirildiğini ve kimliği doğrulanmış uzak bir saldırganın, hedef cihazın yönetim merkezi yazılımı üzerinde “belirli yetkisiz yapılandırma komutlarını” yürütmesine izin verdiğini söyledi.
Şirket, web hizmeti arayüzü aracılığıyla gönderilen yapılandırma komutlarının yeterince yetkilendirilmediğini açıkladı.
Cisco hangi komutların istismar edilebileceğini açıklamadı ancak bunların “hazırlanmış bir HTTP isteği” kullanılarak istismar edildiğini söyledi.
Yönetim merkezi güncellemesi, uyarlanabilir güvenlik cihazı (ASA), Firepower yönetim merkezi (FMC) ve bugün piyasaya sürülen FTD yazılımı için daha büyük bir güvenlik paketinin bir parçasıdır.
Bu duyuru, 22 öneride açıklanan toplam 27 güvenlik açığını kapsıyor.
CVE-2023-20048’in yanı sıra, yüksek önem derecesine sahip sekiz CVE daha bulunmaktadır.
Beşi hizmet reddi hatalarıdır: CVE-2023-20086; burada bir IPv6 ICMP mesajı, cihazı yeniden yüklemeye zorlayabilir; ASA ve FTD’nin VPN yazılımındaki CVE-2023-20095, hazırlanmış HTTPS istekleri kullanılarak saldırıya uğradı; Firepower 2100 serisi güvenlik duvarlarındaki bir paket inceleme hatası olan CVE-2023-20244; CVE-2023-20083, başka bir IPv6 ICMP hatası, bu sefer Snort 2 ile yapılandırıldığında FTD’de; ve CVE-2023-20155, FMC API’sinde yüksek oranda HTTP istekleri gönderilerek yararlanılabilen hız sınırlaması eksikliği.
Ayrıca iki kod yerleştirme güvenlik açığı da bulunmaktadır: FMC çalıştıran FTD cihazlarında yerel saldırganların kodu root olarak çalıştırmasına olanak tanıyan CVE-2023-20063; ve bir tanesi FMC’deki bir çift komut ekleme güvenlik açığı olan CVE-2023-20220 için.