Cisco vá các lỗ hổng nghiêm trọng cao trong phần mềm NX-OS

Hạnh Tâm| 31/08/2020 09:57
Theo dõi ICTVietnam trên

Tuần qua, Cisco đã đưa ra các bản vá cho 10 lỗ hổng có mức nghiêm trọng cao trong phần mềm NX-OS.

Đầu tiên là lỗ hổng CVE-2020-3517, nằm trong thành phần Fabric Services, có thể gây ra tình trạng từ chối dịch vụ (DoS - Denial of service) trong cả phần mềm FXOS và NX-OS. Sự cố tồn tại do thiếu trình xử lý lỗi khi phân tích cú pháp các tin nhắn trên Fabric Services.

Cisco vá các lỗ hổng có mức nghiêm trong cao trong phần mềm NX-OS - Ảnh 1.

Lỗ hổng thứ hai là CVE-2020-3415, là một lỗ hổng thực thi mã từ xa trong trình quản lý dữ liệu (DME - Data Management Engine) của phần mềm NX-OS, có thể bị khai thác bằng việc gửi một gói giao thức phát hiện (Discovery Protocol) tới một thiết bị có lớp 2 bị ảnh hưởng.

Lỗ hổng nâng cao đặc quyền CVE-2020-3394 trong tính năng Enable Secret có thể bị lợi dụng để chiếm toàn quyền quản trị trong Nexus 3000 và các thiết bị chuyển mạch phiên bản 9000. Các thiết bị tương tự bị ảnh hưởng bởi lỗ hổng DoS (CVE-2020-3397) trong việc triển khai mạng riêng ảo đa giao thức (Multicast VPN - MVPN) trên giao thức định tuyến Border Gateway Protocol (BGP) (BGP MVPN). Một lỗ hổng DoS khác là CVE-2020-3398 tồn tại trong BGP MVPN cũng ảnh hưởng tới thiết bị chuyển mạch Nexus 7000.

Cisco cũng xử lý CVE-2020-3454, một lỗ hổng trong tính năng Call Home của NX-OS có thể dẫn đến thực thi các lệnh với đặc quyền truy nhập gốc (root). CVE-2020-3338, một lỗ hổng nằm trong tính năng của giao thức định tuyến Protocol Independent Multicast (PIM). Lỗ hổng này có thể cấy lệnh vào giao diện quản lý dựa trên web của hệ thống điều khiển CIMC (Cisco Integrated Management Controller).

Công ty cũng phát hành các bản cập nhật để xử lý 2 lỗ hổng cấy lệnh (CVE-2018-0307 và CVE-2018-0306) trong CLI của NX-OS, lần đầu tiên được vá vào tháng 6/2018. Các lỗ hổng này có thể cho phép một kẻ tấn công cấy các tham số mã độc hại vào lệnh CLI.

Bản cập nhật phần mềm NX-OS đã được phát hành để xử lý tất cả các vấn đề này. Công ty cho biết rằng họ thấy có "những thông báo công khai hay khai thác" đối với những lỗ hổng này. Thông tin chi tiết về sự việc đã được công bố trên trang tư vấn bảo mật của Cisco.

Ngoài các lỗ hổng liên quan tới NX-OS, Cisco cũng đã vá một lỗ hổng DoS có mức nghiêm trọng trung bình là CVE-2020-3504, tồn tại trong CLI quản lý nội bộ của phần mềm quản lý Cisco UCS.

Công ty cũng đã phát hành bản cập nhật để xử lý lỗ hổng được cho có thể gây tấn công directory traversal (một dạng tấn công cho phép tin tặc truy cập vào các thư mục và tập tin cấm trên máy chủ) có mức rủi ro cao trong giao diện của các dịch vụ của Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) được tiết lộ vào tháng trước và đã bắt đầu bị khai thác ngay sau đó.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Đừng bỏ lỡ
Cisco vá các lỗ hổng nghiêm trọng cao trong phần mềm NX-OS
POWERED BY ONECMS - A PRODUCT OF NEKO