Компания Cisco выпустила 23 Рекомендации по безопасности, которые описывают 25 уязвимостей в системах IOS и IOS XE, установленных на промышленных маршрутизаторах. При этом 3 из них являются «критическими» для пользователей и касаются разного рода уязвимостей.
Например, они могут позволить не аутентифицированному, удаленному злоумышленнику или даже аутентифицированному локальному злоумышленнику выполнить произвольный код в уязвимой системе, вызвать сбой и перезагрузку уязвимой системы. Данная уязвимость связана с неправильной проверкой границ определенных значений в пакетах, предназначенных для UDP-порта 9700 уязвимого устройства. Злоумышленник может воспользоваться «дырой» в безопасности, отправив вредоносные пакеты на уязвимое устройство. По словам Cisco, при обработке пакетов может возникнуть особое потенциально опасное состояние переполнения буфера.
Помимо трех критических рекомендаций, 20 из них имеют «Высокий» рейтинг потенциальной опасности. Cisco заявила, что:
- Одна уязвимость затрагивает программное обеспечение Cisco IOS, IOS XE, IOS XR и NX-OS;
- Пять уязвимостей влияют на программное обеспечение Cisco IOS и IOS XE;
- Шесть уязвимостей влияют на программное обеспечение Cisco IOS, а 10 – на программное обеспечение Cisco IOS XE;
- Три уязвимости влияют на среду приложений Cisco IOx.
Ряд предупреждений касается уязвимостей, связанных с внедрением команд, которые бы позволили злоумышленнику выполнять действия внутри пораженной ОС.
Cisco выпустила бесплатные обновления программного обеспечения, которые исправляют и дополняют критические предупреждения, выпущенные ранее. Компания также заявила, что клиенты смогут использовать Cisco Software Checker для поиска критических рекомендаций.
