Spoločnosť Cisco v stredu vydala záplaty na riešenie troch bezpečnostných chýb, ktoré sa týkajú jej produktov, vrátane vysoko závažnej slabiny, ktorá bola odhalená v súprave NVIDIA Data Plane Development Kit (MLNX_DPDK) koncom minulého mesiaca.

Zraniteľnosť označená ako CVE-2022-28199 (skóre CVSS: 8,6) vyplýva z nedostatočného spracovania chýb v sieťovom zásobníku DPDK, čo umožňuje vzdialenému protivníkovi vyvolať stav odmietnutia služby (DoS) a ovplyvniť integritu a dôvernosť údajov.

"Ak je na rozhraní zariadenia pozorovaný chybový stav, zariadenie sa môže buď preplniť, alebo neprijímať prevádzku, čo môže viesť k stavu odmietnutia služby (DoS)," uviedla spoločnosť Cisco v oznámení zverejnenom 7. septembra.

DPDK označuje súbor knižníc a optimalizovaných ovládačov sieťových kariet (NIC) na rýchle spracovanie paketov, ktoré ponúkajú rámec a spoločné API pre vysokorýchlostné sieťové aplikácie.

Spoločnosť Cisco uviedla, že preskúmala svoj sortiment produktov a zistila, že chyba sa týka nasledujúcich služieb, čo viedlo výrobcu sieťových zariadení k vydaniu aktualizácií softvéru -

• Softvér Cisco Catalyst 8000V Edge
• Adaptive Security Virtual Appliance (ASAv) a
• Secure Firewall Threat Defense Virtual (predtým FTDv)

Okrem zraniteľnosti CVE-2022-28199 spoločnosť Cisco vyriešila aj zraniteľnosť v softvéri Cisco SD-WAN vManage Software, ktorá by mohla "umožniť neautentifikovanému, susednému útočníkovi, ktorý má prístup k logickej sieti VPN0, získať prístup aj k portom služby zasielania správ v postihnutom systéme".

Spoločnosť obvinila z tohto nedostatku, ktorému bol pridelený identifikátor CVE-2022-20696 (skóre CVSS: 7,5), absenciu "dostatočných ochranných mechanizmov" v portoch kontajnera servera správ. Za nahlásenie zraniteľnosti pripísala zásluhy spoločnosti Orange Business.

Úspešné zneužitie chyby by mohlo útočníkovi umožniť prezerať a injektovať správy do služby zasielania správ, čo môže spôsobiť zmeny konfigurácie alebo spôsobiť opätovné načítanie systému, uviedla spoločnosť Cisco.

Treťou chybou, ktorú spoločnosť Cisco odstránila, je zraniteľnosť v rozhraní na zasielanie správ aplikácie Cisco Webex App (CVE-2022-20863, skóre CVSS: 4,3), ktorá môže neautentifikovanému vzdialenému útočníkovi umožniť modifikovať odkazy alebo iný obsah a uskutočniť phishingové útoky.

"Táto zraniteľnosť existuje, pretože dotknutý softvér nesprávne spracúva vykresľovanie znakov," uviedol. "Útočník by mohol túto zraniteľnosť zneužiť odosielaním správ v rámci aplikačného rozhrania."

Spoločnosť Cisco ocenila Rexa, Brucea a Zacheryho z Binance Red Team za objavenie a nahlásenie zraniteľnosti. Nakoniec zverejnila aj podrobnosti o chybe obchádzania autentifikácie (CVE-2022-20923, skóre CVSS: 4.0), ktorá sa týka smerovačov Cisco Small Business RV110W, RV130, RV130W a RV215W a ktorá podľa nej nebude opravená z dôvodu ukončenia životnosti týchto produktov.

"Spoločnosť Cisco nevydala a nevydá aktualizácie softvéru na riešenie tejto zraniteľnosti," uviedla a vyzvala používateľov, aby "prešli na smerovače Cisco Small Business RV132W, RV160 alebo RV160W".

Zdroj : The Hacker News