Cisco je u srijedu najavio ažuriranja softvera koja rješavaju ukupno 27 ranjivosti u proizvodima Adaptive Security Appliance (ASA), Firepower Management Center (FMC) i Firepower Threat Defense (FTD).
Kao dio svoje polugodišnje paketne publikacije, tehnološka kompanija objavila je ukupno 22 sigurnosna savjeta koji opisuju kritične, visoke i srednje ozbiljne nedostatke u tri mrežna sigurnosna proizvoda.
Najozbiljniji od ovih problema je CVE-2023-20048 (CVSS rezultat 9,9), greška ubrizgavanja komande u FMC koja je rezultat „nedovoljne autorizacije konfiguracionih komandi koje se šalju preko interfejsa veb usluge“ pogođenog proizvoda.
Provjereni napadač mogao bi koristiti izrađene HTTP zahtjeve da iskoristi ranjivost i izvrši konfiguracijske naredbe na ciljanom FTD uređaju, objašnjava Cisco.
Cisco je u srijedu objavio sedam savjeta u kojima je detaljno opisano osam ozbiljnih nedostataka u ASA, FMC i FTD softveru. Pet grešaka bi moglo dovesti do uskraćivanja usluge (DoS), a preostale tri dozvoljavaju ubacivanje komande.
DoS greške utiču na ICMPv6 obradu, udaljeni pristup VPN, internu obradu paketa i ICMPv6 inspekciju sa Snort 2 funkcijama detekcije i API za evidentiranje pogođenih proizvoda.
18 nedostataka srednje ozbiljnosti koje je Cisco popravio ove sedmice u ASA, FMC i FTD mogao bi dovesti do uvjeta DoS-a, proizvoljnog preuzimanja datoteka, SAML assertion hijacka, cross-site scriptinga (XSS), zaobilaženja politike, zaobilaženja uređaja za detekciju, zaobilaženja autentifikacije certifikata i zaobilaženja filtriranje geolokacije.
Problem srednje ozbiljnosti koji se izdvaja iz gomile je CVE-2022-20713, udaljena, neautorizovana ranjivost krijumčarenja zahtjeva na strani klijenta u komponenti VPN web klijentskih usluga ASA i FTD softvera.
Problem je prvobitno označen 10. avgusta 2022. godine, ali je Cisco-u trebalo više od godinu dana da obezbjedi zakrpe za njega. Međutim, uprkos javnoj dostupnosti koda za iskorištavanje dokaza o konceptu (PoC), izgleda da se greška ne iskorištava u zlonamjernim napadima.
U stvari, ovaj tehnološki gigant kaže da nije svjestan in-the-wild napada koji ciljaju na bilo koju ranjivost koja se rješava najnovijim ažuriranjima softvera ASA, FMC i FTD.
Izvor: SecurityWeek