CarderPlanet
Professional
- Messages
- 2,549
- Reaction score
- 724
- Points
- 113
Cisco предупреждает о попытке использования уязвимости безопасности в своем программном обеспечении IOS и IOS XE, которая может позволить прошедшему проверку подлинности удаленному злоумышленнику добиться удаленного выполнения кода в затронутых системах.
Уязвимость средней степени тяжести отслеживается как CVE-2023-20109 и имеет оценку CVSS 6.6. Это влияет на все версии программного обеспечения, в которых включен протокол GDOI или G-IKEv2.
Компания заявила, что недостаток "может позволить удаленному злоумышленнику, прошедшему проверку подлинности, который имеет административный контроль либо над членом группы, либо над сервером ключей, выполнить произвольный код на уязвимом устройстве или вызвать сбой устройства".
Далее отмечается, что проблема является результатом недостаточной проверки атрибутов в протоколах Group Domain of Interpretation (GDOI) и G-IKEv2 функции GET VPN, и ее можно использовать как оружие, либо скомпрометировав установленный сервер ключей, либо изменив конфигурацию члена группы, чтобы указать на сервер ключей, который контролируется злоумышленником.
Сообщается, что уязвимость была обнаружена после внутреннего расследования и аудита исходного кода, инициированного после "попытки использования функции GET VPN".
Это стало известно после того, как Cisco подробно описала набор из пяти недостатков в Catalyst SD-WAN Manager (версии с 20.3 по 20.12), которые могут позволить злоумышленнику получить доступ к уязвимому экземпляру или вызвать отказ в обслуживании (DoS) в уязвимой системе -
Заказчикам рекомендуется перейти на исправленную версию программного обеспечения для устранения уязвимостей.
Уязвимость средней степени тяжести отслеживается как CVE-2023-20109 и имеет оценку CVSS 6.6. Это влияет на все версии программного обеспечения, в которых включен протокол GDOI или G-IKEv2.
Компания заявила, что недостаток "может позволить удаленному злоумышленнику, прошедшему проверку подлинности, который имеет административный контроль либо над членом группы, либо над сервером ключей, выполнить произвольный код на уязвимом устройстве или вызвать сбой устройства".
Далее отмечается, что проблема является результатом недостаточной проверки атрибутов в протоколах Group Domain of Interpretation (GDOI) и G-IKEv2 функции GET VPN, и ее можно использовать как оружие, либо скомпрометировав установленный сервер ключей, либо изменив конфигурацию члена группы, чтобы указать на сервер ключей, который контролируется злоумышленником.
Сообщается, что уязвимость была обнаружена после внутреннего расследования и аудита исходного кода, инициированного после "попытки использования функции GET VPN".
Это стало известно после того, как Cisco подробно описала набор из пяти недостатков в Catalyst SD-WAN Manager (версии с 20.3 по 20.12), которые могут позволить злоумышленнику получить доступ к уязвимому экземпляру или вызвать отказ в обслуживании (DoS) в уязвимой системе -
- CVE-2023-20252 (оценка CVSS: 9,8) - Уязвимость несанкционированного доступа
- CVE-2023-20253 (оценка CVSS: 8.4) - Уязвимость несанкционированного отката конфигурации
- CVE-2023-20034 (оценка CVSS: 7,5) - Уязвимость в раскрытии информации
- CVE-2023-20254 (оценка CVSS: 7.2) - Уязвимость обхода авторизации
- CVE-2023-20262 (оценка CVSS: 5.3) - Уязвимость, связанная с отказом в обслуживании
Заказчикам рекомендуется перейти на исправленную версию программного обеспечения для устранения уязвимостей.
