به تازگی شرکت سیسکو بروز رسانی امنیتی را به منظور رفع 9 نقص در سوئیچ های مربوط به کسب و کار های کوچک منتشر کرده است ، بهره برداری از این نقص ها منجر به اجرا کد دلخواه مهاجم بدون احراز هویت می گردد و در شرایطی منجر به انکار سرویس می گردد .
مهاجمان می توانند با استفاده از ارسال درخواست های مخرب به سمت واسط وب دستگاه ها بدون نیاز به دخالت کاربر کد دلخواه خود را اجرا کنند. طبق اطلاعیه سیسکو بهره برداری از هرکدام شناسه های آسیب پذیری بالا به شناسه های دیگر مربوط نیست و به صورت مستقل امکان بهره برداری از هر کدام از نقص ها وجود خواهد داشت .
چهار مورد از 9 مورد آسیب پذیری کشف شده در دستگاه ها با توجه به شدت خطر 9.8 در دسته بندی بحرانی تقسیم بندی می شوند .
- Cve-2023-20159: آسیب پذیری سرریز stack مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود .
- Cve-2023-20160:آسیب پذیری سرریز بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20161:آسیب پذیری سرریز stack مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20189: آسیب پذیری سرریز stack مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20024: آسیب پذیری سرریز heap مربوط به بافر با شدت خطر 8.6 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20156: آسیب پذیری سرریز heap مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20157: آسیب پذیری سرریز heap مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
- Cve-2023-20158:آسیب پذیری از نوع انکار سرویس با شدت خطر 8.6
- Cve-2023-20162:آسیب پذیری از نوع انکار سرویس با شدت خطر 7.5
محصولات آسیب پذیر عبارت اند از :
- 250 series smart switches
- 350 series managed switches
- 350x series stackable managed switches
- 550x series stackable managed switches
- Bussiness 250 series smart switches
- Bussiness 350 series managed switches
- Small bussiness 200 series smart switches
- Small bussiness 300 series managed switches
- Small business 500 series stackable managed switches
در مورد نسخه مدل های
- 250 series smart switches
- 350 series managed switches
- 350x series stackable managed switches
- 550x series stackable managed switches
می بایست نرم افزار دستگاه را به نسخه 2.5.9.16 و در مورد نسخه مدل های
- Bussiness 250 series smart switches
- Bussiness 350 series managed switches
به نسخه نرم افزار 3.3.0.16 بروز رسانی انجام گردد و در مورد سایر مدل ها تا به این لحظه بروز رسانی امنیتی منتشر نشده است و طبق بیانیه سیسکو وصله امنیتی برای آن ها منتشر نخواهد شد .
منابع
https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html
- 125