Image default
Vulnerabilidades

Cisco alerta sobre 14 bugs de alta criticidade em alguns de seus produtos

Parece que essa semana que passou foi realmente da Cisco. Na segunda do dia 24/09, a empresa informou que mais de 80 de seus produtos estavam vulneráveis a um bug de negação de serviço (DoS) chamado de FragmentSmack. A bola da vez é que na terça (25/09) ela divulgou alertas de segurança para 25 vulnerabilidades encontradas em alguns de seus produtos e quase dois terços delas (vulnerabilidades) têm um alto grau de criticidade.

A maioria dos problemas anunciados estão relacionados com bugs de negação de serviço (DoS) que afetam os componentes de produtos de software, como o IOS e IOS XE.

Apenas dois avisos referem-se a outros produtos: o Catalyst 6800 Series Switches ROM Monitor e Webex Meetings Client.

Outras vulnerabilidades incluídas nos alertas podem ser exploradas para causar vazamentos de dados da memória, injeção de comandos, escalonamento de privilégios, bypass de autenticação, execução arbitrária de código e acesso ao shell como root.

O nível de gravidade de algumas das vulnerabilidade é alto, pois elas podem ser exploradas remotamente por um invasor, em precisar se autenticar.

Uma das vulnerabilidades de DoS  mais simples que um invasor pode executar remotamente é através da interface web do IOS XE existente em alguns equipamentos. É possível fazer com o que o equipamento seja reiniciado simplesmente enviando uma solicitação HTTP criada especialmente para esta interface web.

Este relatório mostra que muitos destes problemas ocorrem devido a validação/processamento incorreta(a) de pacotes.

Nome do alertaImpactoCVE
Cisco IOS and IOS XE Software OSPFv3 Denial of Service VulnerabilityHighCVE-2018-0466 
Cisco IOS XE Software and Cisco ASA 5500-X Series Adaptive Security Appliance IPsec Denial of Service VulnerabilityHighCVE-2018-0472 
Cisco IOS XE Software Web UI Denial of Service VulnerabilityHighCVE-2018-0469 
Cisco IOS XE Software HTTP Denial of Service VulnerabilityHighCVE-2018-0470 
Cisco IOS and IOS XE Software SM-1T3/E3 Service Module Denial of Service VulnerabilityHighCVE-2018-0485
Cisco IOS XE Software NAT Session Initiation Protocol Application Layer Gateway Denial of Service VulnerabilityHighCVE-2018-0476 
Cisco IOS Software Precision Time Protocol Denial of Service VulnerabilityHighCVE-2018-0473 
Cisco IOS and IOS XE Software IPv6 Hop-by-Hop Options Denial of Service VulnerabilityHighCVE-2018-0467
Cisco IOS XE Software Command Injection VulnerabilitiesHighCVE-2018-0477
CVE-2018-0481
Cisco IOS XE Software Errdisable Denial of Service VulnerabilityHighCVE-2018-0480
Cisco IOS and IOS XE Software Cluster Management Protocol Denial of Service VulnerabilityHighCVE-2018-0475
Cisco IOS XE Software Cisco Discovery Protocol Memory Leak VulnerabilityHighCVE-2018-0471 
Cisco Webex Meetings Client for Windows Privilege Escalation VulnerabilityHighCVE-2018-0422

Fonte:

https://www.bleepingcomputer.com/news/security/cisco-releases-alerts-for-14-high-severity-bugs/

Posts similares

Expostos: 157 GB de dados sigilosos da Tesla, GM, Toyota e outras

O Analista

NetSpectre: vulnerabilidade Spectre agora pode ser explorada remotamente

O Analista

Bluetooth: Nova falha no padrão permite a monitoração do tráfego de dados

O Analista
O Analista_