Cisco vá những lỗ hổng nguy cấp trên điện thoại IP, UCS Director

Hạnh Tâm| 18/04/2020 15:37
Theo dõi ICTVietnam trên

Tuần này, Cisco đã phát hành các bản vá bảo mật để xử lý nhiều lỗ hổng trên các sản phẩm của mình, bao gồm các lỗ hổng nghiêm trọng mang tính nguy cấp ảnh hưởng đến các điện thoại IP và UCS Director, nền tảng không đồng nhất cho cơ sở hạ tầng đám mây riêng như một dịch vụ (IaaS).

Lỗ hổng nguy cấp được vá trên các điện thoại IP ảnh hưởng đến máy chủ web và có thể cho phép một kẻ tấn công từ xa, không được xác thực thực thi mã với đặc quyền truy nhập gốc (root). 

Lỗ hổng có tên CVE-2020-3161 với điểm CVSS là 9,8, cho phép kẻ tấn công có thể khai thác lỗ hổng bằng việc gửi một yêu cầu HTTP lừa đảo tới máy chủ web của thiết bị có chứa lỗ hổng.

Cisco vá những lỗ hổng nguy cấp trong IP Phones, UCS Director - Ảnh 1.

Theo báo cáo Tenable, một công ty an ninh mạng tới Cisco: "Trên libHTTPService.so, các thông số sau /deviceconfig/setActivationCode được sử dụng để tạo ra một URL mới qua hàm gọi sprintf. Độ dài của chuỗi thông số không được kiểm tra. Khi kẻ tấn công cung cấp một độ dài thông số sau đó hàm sprintf  tràn bộ đệm ngăn xếp".

Điện thoại IP 7811, 7821, 7841 và  các điện thoại để bàn 7861; Điện thoại IP 8811, 8841, 8845, 8851, 8861 và  các điện thoại để bàn 8865; Điện thoại IP hợp nhất 8831; Điện thoại IP vô tuyến 8821 và 8821-EX đều bị ảnh hưởng.

Phần mềm cập nhật của Cisco trong tuần đã xử lý lỗ hổng này. 

Ngoài ra, còn có 3 lỗ hổng nguy cấp đã được xử lý trong Cisco UCS Director và UCS Director Express cho dữ liệu lớn. Cả 3 lỗ hổng đều được phát hiện trong REST API. Những lỗ hổng này cho phép tin tặc từ xa, không được xác thực vượt qua xác thực hoặc thực hiện các tấn công tấn công vào các tập tin và thư mục của máy chủ.

Các lỗ hổng có số hiệu là CVE-2020-3239, CVE-2020-3240, CVE-2020-3243 liên quan tới xác thực điều khiển truy nhập và xác thực đầu vào không đúng. Cả 3 lỗ hổng đều được giải quyết trong  UCS Director 6.7.4.0 và UCS Director Express for Big Data 3.7.4.0.

Tuần này, Cisco cũng đưa ra các bản vá cho 7 lỗ hổng nghiêm trọng cao ảnh hưởng tới Wireless LAN Controller (WLC) Software, Webex Network Recording Player và Webex Player, Mobility Express Software, IoT Field Network Director, Unified Communications Manager (UCM), UCM Session Management Edition (SME) và Aironet Series Access Points Softwareí.

Sáu trong số đó có nguy cơ bị khai thác bởi những kẻ tấn công không được xác thực, tin tặc từ xa có thể tấn công từ chối dịch vụ (DoS), thực hiện tấn công bằng cách sử dụng quyền chứng thực của người sử dụng (CSRF) hoặc các cuộc tấn công truy cập vào các thư mục và tập tin cấm trên máy chủ. Lỗ hổng trong Webex Player có thể dẫn đến thực thi mã từ xa.

Cisco cũng phát hành các bản cập nhật phầm mềm miễn phí để xử lý tất cả những lỗ hổng này và cho biết họ không phát hiện bất kỳ thông báo hay mã độc nào đã khai thác được những lỗ hổng này. Chi tiết về từng lỗ hổng được công bố trên website hỗ trợ của Cisco.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
  • Tuyên Quang: Kiên trì phương châm “mưa dầm thấm lâu” để nâng cao kiến thức pháp luật cho đồng bào vùng DTTS&MN
    Với phương châm “mưa dầm thấm lâu”, những năm qua, các cấp chính quyền tỉnh Tuyên Quang đã đa dạng hoá các hình thức tuyên truyền, góp phần giúp các kiến thức pháp luật về mọi mặt của đời sống ngày một đến gần hơn với người dân (đặc biệt là vùng đồng bào DTTS&MN).
  • Malaysia gây “sốc” khi trao giấy phép mạng 5G thứ hai
    Câu chuyện 5G của Malaysia đã có một bước ngoặt bất ngờ khi cơ quan quản lý nước này trao giấy phép triển khai mạng 5G thứ hai cho nhà mạng nhỏ nhất của đất nước là U Mobile.
Đừng bỏ lỡ
Cisco vá những lỗ hổng nguy cấp trên điện thoại IP, UCS Director
POWERED BY ONECMS - A PRODUCT OF NEKO