Cisco выпустила обновления для своего программного обеспечения IOS,
чтобы охватить более десятка уязвимостей критической и высокой степени
серьезности, которые предоставляют коммутаторам и маршрутизаторам
компании удаленные атаки.
Одним из недостатков является критическим CVE-2017-12229, и проблема
REST API, что позволяет удаленному злоумышленнику обойти проверку
подлинности и получить доступ к веб-интерфейсу пользователя устройств,
работающих под управлением уязвимой версии программного обеспечения IOS.
Еще
одна критическая уязвимость, связанная с веб-интерфейсом пользователя, -
CVE-2017-12230, которая позволяет аутентифицированному злоумышленнику
эскалации привилегий. Проблема
вызвана тем, что новые пользователи были созданы через веб-интерфейс,
которым по умолчанию присвоены повышенные привилегии. Злоумышленник может создать новую учетную запись и использовать ее для доступа к устройству с cao quyền.
Последняя критическая кривая безопасности, CVE-2017-12240, влияет на подсистему реле DHCP в IOS и IOS XE. Удаленный и неаутентифицированное злоумышленник может выполнить
произвольный код и получить полный контроль над атакуемой системы или
вызвать его ввести (DoS) состояние отказа в обслуживании, вызывая
переполнение буфера с помощью специально созданных пакетов DHCPv4.
Cisco
также исправила в общей сложности 11 недостатков высокой степени
серьезности, влияющих на различные компоненты программного обеспечения
IOS и / или IOS XE. Это включает уязвимости DoS, влияющие на коммутаторы Catalyst,
маршрутизаторы Integrated Services, промышленные Ethernet-коммутаторы,
маршрутизаторы серии ASR 1000 и cBR-8 конвергентные широкополосные
маршрутизаторы.
Сетевой гигант также обратился к двум серьезным ошибкам проверки подлинности обхода и проверки сертификатов. Контроллеры беспроводной локальной сети Cisco 5760, коммутаторы 8-E
коммутатора Catalyst 4500E Supervisor и беспроводные контроллеры нового
поколения (NGWC) 3850.
Большинство
этих отверстий безопасности были обнаружены во время внутреннего
тестирования, и нет никаких доказательств того, что они были
использованы в злонамеренных целях, сказала Cisco.