тел. +7 (495) 943-38-30

Новости

  • 2017
    • январь
    • февраль
    • март
    • апрель
    • май
    • июнь
    • июль
    • август
    • сентябрь
    • октябрь
    • ноябрь
    • декабрь
  • 2016
  • 2015
05 октября 2017

Cisco устранила опасные уязвимости в ПО IOS

Cisco выпустила обновления для своей операционной системы Cisco IOS, исправляющие более десятка опасных уязвимостей, в том числе одну критическую, позволявших осуществлять удаленные атаки на сетевые коммутаторам и маршрутизаторы компании. 
В числе исправленных указана уязвимость CVE-2017-12229 в REST API, позволявшая удаленному злоумышленнику обойти механизм аутентификации и получить доступ к web-интерфейсу устройств под управлением уязвимых версий ПО IOS.

Также исправлена уязвимость CVE-2017-12230, позволявшая аутентифицированному злоумышленнику повысить привилегии. Суть проблемы заключается в том, что повышенные привилегии предоставлялись пользователям, созданным через web-интерфейс, по умолчанию. Атакующий мог создать новую учетную запись и получить доступ с повышенными правами к устройству.
Критическая уязвимость CVE-2017-12240 затрагивала протокол DHCP в Cisco IOS и Cisco IOS XE. Удаленный неавторизованный злоумышленник мог выполнить произвольный код и получить полный контроль над целевой системой или осуществить DoS-атаку, вызвав переполнение буфера путем отправки специально сформированных DHCPv4-пакетов.
В общей сложности было исправлено 11 опасных уязвимостей, в том числе DoS-уязвимости, затрагивавшие сетевые коммутаторы Catalyst, маршрутизаторы Integrated Services, промышленные Ethernet-коммутаторы, а также маршрутизаторы серии ASR 1000 и cBR-8. С полным списком исправленных уязвимостей можно ознакомиться на сайте Cisco.
Компания также исправила две серьезные проблемы, касавшиеся обхода аутентификации и проверки сертификатов. Уязвимость повышения привилегий, затрагивающая устройства Cisco 5760 Wireless LAN, Catalyst 4500E Supervisor Engine 8-E и NGWC 3850, осталась неисправленной.
 По словам представителей Cisco, большинство проблем безопасности были выявлены в рамках внутреннего тестирования. В настоящее время нет свидетельств их эксплуатации злоумышленниками.