Nhà sản xuất thiết bị mạng Cisco đã phát hành các bản cập nhật bảo mật để giải quyết ba lỗ hổng có mức độ nghiêm trọng cao trong các sản phẩm của mình có thể bị lợi dụng để gây ra tình trạng từ chối dịch vụ (DoS) và chiếm quyền kiểm soát các hệ thống bị ảnh hưởng.
Lỗ hổng đầu tiên trong ba lỗ hổng, CVE-2022-20783 (Điểm CVSS: 7,5), ảnh hưởng đến Phần mềm Cisco TelePresence Collaboration Endpoint (CE) và Phần mềm Cisco RoomOS, và bắt nguồn từ việc thiếu xác thực đầu vào thích hợp, cho phép kẻ tấn công từ xa, chưa được xác thực gửi lưu lượng truy cập được chế tạo đặc biệt đến các thiết bị.
“Việc khai thác thành công có thể cho phép kẻ tấn công khiến thiết bị bị ảnh hưởng khởi động lại bình thường hoặc khởi động lại ở chế độ bảo trì, điều này có thể dẫn đến tình trạng DoS trên thiết bị”, công ty lưu ý trong một lời khuyên.
Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã phát hiện và báo cáo lỗ hổng. Sự cố đã được giải quyết trong phiên bản Phần mềm Cisco TelePresence CE 9.15.10.8 và 10.11.2.2.
CVE-2022-20773 (Điểm CVSS: 7,5), lỗ hổng thứ hai cần được vá, liên quan đến khóa máy chủ SSH tĩnh có trong Thiết bị ảo Cisco Umbrella (VA) đang chạy phiên bản phần mềm trước 3.3.2, có khả năng cho phép kẻ tấn công thực hiện một hành động xâm nhập -tấn công giữa (MitM) trên kết nối SSH và chiếm đoạt thông tin xác thực của quản trị viên.
Lỗ hổng bảo mật có mức độ nghiêm trọng cao thứ ba là trường hợp leo thang đặc quyền trong Trình quản lý cơ sở hạ tầng ảo hóa của Cisco (CVE-2022-20732, Điểm CVSS: 7.8) cấp cho kẻ tấn công cục bộ, đã xác thực để nâng cao đặc quyền trên thiết bị. Nó đã được giải quyết trong phiên bản 4.2.2 của phần mềm.
“Việc khai thác thành công có thể cho phép kẻ tấn công có được thông tin đăng nhập cơ sở dữ liệu nội bộ, mà kẻ tấn công có thể sử dụng để xem và sửa đổi nội dung của cơ sở dữ liệu. Kẻ tấn công có thể sử dụng quyền truy cập này vào cơ sở dữ liệu để nâng cao các đặc quyền trên thiết bị bị ảnh hưởng”, công ty cho biết .
Cisco cũng giải quyết 10 lỗi có mức độ nghiêm trọng trung bình trong danh mục sản phẩm của mình, bao gồm Webex Meeting, Unified Communications Products, Umbrella Secure Web Gateway và IOS XR Software.
.
