آسیبپذیریهای متعددی در Cisco Expressway Series وCisco TelePresence Video Communication Server کشف شده است. دو آسیبپذیری قابل توجه با شناسههای CVE-2024-20254 و CVE-2024-20252 و شدت بحرانی (9.6) شناسایی شدهاند. در این آسیبپذیریها یک مهاجم بدون نیاز به احراز هویت و از راه دور، امکان اجرای حملات از نوع جعل درخواست از طریق سایت یاcross-site request forgery (CSRF) را خواهد داشت. این نوع حملات، مهاجم را قادر میسازد تا اقدامات غیرمجازی را بر روی دستگاه مورد هدف انجام دهد. لازم به ذکر است که «Cisco Expressway Series» شامل دستگاههای Cisco Expressway Control (Expressway-C) و Cisco Expressway Edge (Expressway-E) است.
همچنین یک آسیبپذیری دیگر با شناسه CVE-2024-20255، و شدت بالا (8.2) شناسایی شده است. این آسیبپذیری ناشی از یک ضعف در رابط برنامهنویسی برنامه کاربردی (API) SOAP برای سری Cisco Expressway و سرور ارتباط ویدئویی TelePresence است. آسیبپذیری مذکور، به مهاجمان اجازه میدهد که بدون ورود به سیستم، از طریق حملهی CSRF بر روی سیستم موردنظر اقدام مخرب را انجام دهند. عدم وجود تنظیمات امنیتی کافی CSRF برای رابط مدیریت وب، مهاجم میتواند با فریب کاربران به استفاده از API REST و دنبال کردن یک لینک جعلی، از این آسیبپذیری بهرهبرداری کند.
محصولات تحت تأثیر
- آسیبپذیریهای CVE-2024-20254 و CVE-2024-20255: این آسیبپذیریها دستگاههای سری Cisco Expressway را در پیکربندی پیشفرض تحت تأثیر قرار میدهند.
- آسیبپذیری CVE-2024-20252: تنها بر روی دستگاههای سری Cisco Expressway تأثیر میگذارد و آن هم در صورتی که قابلیت CDB API در آنها فعال شده باشد. این قابلیت به صورت پیشفرض غیرفعال است.
توصیههای امنیتی
با توجه به این هشدار، کمپانی سیسکو نسخههای جدید و رایگانی از نرمافزار را منتشر کرده است که آسیبپذیریهای موجود را برطرف میکند. همچنین در تنظیمات پیشفرض محصولات Cisco Expressway Series ، اگر قابلیت CDB API فعال شده باشد تحت تأثیر قرار میگیرند که در این صورت، به مشتریان توصیه شده است نرمافزار خود را به نسخههای ارتقاء یافته که در جدول زیر مشخص شده است ارتقاء دهند.
محصولات Cisco Expressway Series |
نسخههای وصلهشده |
قبل از نسخه 14.0 |
ارتقا به نسخه وصلهشده |
14.0 |
14.3.41 |
15.0 |
15.0.01 |
منابع خبر:
[1]https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-c…
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-20254
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-20252
- 189