Cisco đã phát hành các bản cập nhật phần mềm để giải quyết bốn lỗ hổng bảo mật trong phần mềm của họ có thể bị vũ khí hóa bởi các tác nhân độc hại để kiểm soát các hệ thống bị ảnh hưởng.
Lỗ hổng quan trọng nhất là CVE-2022-20650 (điểm CVSS: 8,8), liên quan đến lỗ hổng chèn lệnh trong tính năng NX-API của Phần mềm Cisco NX-OS xuất phát từ việc thiếu xác thực đầu vào của người dùng- dữ liệu được cung cấp.
“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP POST được tạo thủ công tới NX-API của một thiết bị bị ảnh hưởng”, Cisco cho biết. “Một khai thác thành công có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý với quyền root trên hệ điều hành cơ bản.”
Lỗ hổng này ảnh hưởng đến Công tắc dòng nexus 3000, Công tắc nền tảng Nexus 5500, Công tắc nền tảng Nexus 5600, Công tắc dòng Nexus 6000 và Công tắc dòng Nexus 9000 ở chế độ NX-OS độc lập chạy Phần mềm Cisco NX-OS có bật tính năng NX-API.
Cũng đã được vá hai lỗi từ chối dịch vụ (DoS) mức độ nghiêm trọng cao trong NX-OS – CVE-2022-20624 và CVE-2022-20623 (điểm CVSS: 8,6) – được tìm thấy trong Cisco Fabric Services Over IP (CFSoIP) và chức năng lưu lượng Phát hiện chuyển tiếp hai chiều (BFD).
CVE-2022-20624, đã được Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) báo cáo cho Cisco, ảnh hưởng đến Thiết bị chuyển mạch Nexus 3000 và 9000 và Kết nối vải UCS 6400 Series, giả sử CFSoIP được bật. Mặt khác, CVE-2022-20623 chỉ ảnh hưởng đến các Thiết bị chuyển mạch Nexus 9000 đã bật BFD.
Cuối cùng, nhà sản xuất thiết bị mạng cũng đã vá lỗ hổng DoS thứ ba (CVE-2022-20625, điểm CVSS: 4,3) trong dịch vụ Giao thức Khám phá Cisco của Phần mềm Cisco FXOS và Phần mềm Cisco NX-OS, có thể “cho phép kẻ tấn công liền kề, không được xác thực khiến dịch vụ khởi động lại, dẫn đến tình trạng từ chối dịch vụ (DoS). “
Cisco nói rằng họ không biết về “bất kỳ thông báo công khai nào hoặc việc sử dụng có mục đích xấu” đối với các lỗ hổng nói trên. Điều đó nói rằng, người dùng nên nhanh chóng áp dụng các bản cập nhật cần thiết để ngăn chặn việc khai thác tiềm năng trong thế giới thực.
.
