‫ اخبار

اپلیکیشن جعلی به‌روزرسانی #‫اندروید با عنوان #‫Updates_for_Samsung که از طریق فروشگاه گوگل پلی منتشر شده است تا به حال بیش از 10 میلیون تلفن همراه اندرویدی را آلوده کرده است. این اپلیکیشن در فروشگاه‌های اپلیکیشن ایرانی نیز منتشر شده و توسط حدود ۳۰ هزارنفر دریافت شده است. این اپلیکیشن هیچ ارتباطی با شرکت سامسونگ ندارد.

کاربران می‌توانند در این اپلیکیشن نسخه خاص Firmware خود را جستجو کنند و اپلیکیشن در ازای ارائه به‌روزرسانی مربوطه، درخواست پرداخت پول می‌کند.

محققی از گروه امنیتی CSIS، جزئیات این اپلیکیشن جعلی را منتشر کرده است و آن را به فروشگاه گوگل پلی گزارش داده است. در حال حاضر این اپلیکیشن از فروشگاه گوگل پلی حذف شده است. اطلاع رسانی جهت حذف این اپلیکیشن به فروشگاه‌های ایرانی نیز صورت گرفته است.

منبع:

https://medium.com/csis-techblog/updates-for-samsung-from-a-blog-to-an-android-advertisement-revenue-goldmine-of-10-000-000-166585e34ad0

https://gbhackers.com/androidfake-samsung-updates-app/

هکرهای آژانس‌های جاسوسی غربی با استفاده از نوع نادری از بدافزار به نام #‫Regin، موتور جستجوی یاندکس را هک کرده‌اند تا بتوانند از کاربران این موتور جستجوی روسی جاسوسی کنند.
یاندکس یک موتور جستجوی روسی است که در زمینه محصولات اینترنتی و سرویس‌هایی از جمله تجارت، حمل و نقل، ناوبری، اپلیکیشن‌های کاربردی موبایل و تبلیغات آنلاین فعالیت می‌کند.
طبق گزارش رویترز، بدافزار Regin یکی از پیچیده‌ترین و نادرترین بدافزارهایی است که توسط “Five Eyes” یا اتحادیه اطلاعاتی کشورهای ایالات متحده، بریتانیا، استرالیا، نیوزیلند و کانادا استفاده می‌شود. هدف این حملات واحد تحقیق و توسعه یاندکس بوده و این حملات بیشتر به دلیل اهداف جاسوسی انجام شده و هیچ اختلال یا سرقت اطلاعات خاصی صورت نگرفته است.
به دلیل اینکه حملات توسط متخصصان امنیتی این موتور جستجو شناسایی نشد در نتیجه جهت انجام تحقیقات بیشتر از شرکت امنیتی کاسپر اسکای درخواست کمک شد که بعد از انجام تحقیقات مربوطه توسط این شرکت امنیتی، مشخص شد که هدف حمله گروهی از توسعه‌دهندگان داخلی یاندکس بوده است و مهاجمانی که این حملات را انجام داده‌اند، حداقل به مدت چند هفته و بدون شناسایی شدن دسترسی پایداری را به یاندکس داشته‌اند.
طبق گزارش رویترز، هکرها به دنبال اطلاعات فنی مربوط به چگونگی احراز هویت حساب‌های کاربری توسط یاندکس بوده‌اند. چنین اطلاعاتی می‌تواند به جعل حساب‌های کاربری یاندکس و دسترسی به پیام‌های خصوصی کاربران منجر شود.

لینک خبر:
https://gbhackers.com/russian-yandex-hacked-regin/

محققان اخیراً چندین #‫آسیب‌پذیری را در زیرساخت‌های نرم‌افزاری #‫Lenovo کشف کرده‌اند. Lenovo یکی از شرکت‌های فناوری چند ملیتی است که کار فروش و توسعه رایانه‌های شخصی، تبلت‌ها، گوشی‌های هوشمند، سرورها و دستگاه‌های ذخیره‌سازی اطلاعات الکترونیکی را انجام می‌دهد.
شرکت امنیتی ایتالیایی Swascan که این آسیب‌پذیری‌ها را کشف کرده است، تابحال هیچ جزئیاتی از نرم‌افزار‌ها و محصولات تحت‌تاثیر این آسیب‌پذیری‌های Lenovo را منتشر نکرده است و تمام این آسیب‌پذیری‌های گزارش داده شده توسط تیم امنیتی Lenovo مورد ارزیابی قرار گرفته و همچنین رفع شده است.
در مجموع 9 آسیب‌پذیری شناسایی شده است که دو مورد آن بحرانی و هفت مورد آن در سطح متوسط طبقه‌بندی شده است.
مهاجمان می‌توانند از این آسیب‌پذیری‌ها برای اجرای کد دلخواه و خواندن اطلاعات حساس کاربران در سیستم استفاده کنند. این آسیب‌پذیری‌ها شامل محدودسازی نامناسب عملیات‌ها در محدوده بافرهای حافظه، دسترسی به مقدار یک آدرس اشاره‌گر تهی، اعتبارسنجی ورودی نامناسب، خنثی‌سازی و بیطرف کردن نامناسب عناصر خاص استفاده شده در خط فرمان سیستم‌عامل، احراز هویت نامناسب و آسیب‌پذیری use After Free می‌باشد.

لینک خبر:
https://gbhackers.com/lenovo-server-infrastructure/
و
https://latesthackingnews.com/2019/07/03/multiple-vulnerabilities-spotted-in-lenovo-server-infrastructure/

#‫سیسکو به مشتریان خود اعلام کرد که محصول #‫DCNM این شرکت، تحت تأثیر آسیب‌پذیری‌های متعددی قرار دارد که برخی از آن‌ها «بحرانی» و «شدت بالا» طبقه‌بندی شده‌اند.
DCNM، سیستم مدیریت شبکه برای تمام سیستم‌های NX-OS است که از سخت‌افزار Nexus سیسکو در مراکز داده استفاده می‌کنند. این نرم‌افزار برای خودکارسازی ارائه، عیب‌یابی و شناسایی خطاهای پیکربندی استفاده می‌شود. به عبارت دیگر، این نرم‌افزار، یک بخش مهم نرم‌افزاری برای سازمان‌هایی است که از سوئیچ‌های Nexus استفاده می‌کنند.
طبق گفته‌ی سیسکو، رابط کاربری مبتنی بر وب مرکز پیکربندی مدیریت شبکه‌ی داده، تحت تأثیر دو حفره‌ی امنیتی بحرانی قرار دارند. یکی از آن‌ها که با شناسه‌ی "CVE-2019-1620" ردیابی می‌شود، به یک مهاجم ناشناخته‌ی از راه دور، اجازه‌ی بارگذاری فایل‌های دلخواه به یک وب سرولت (servlet) در دستگاه آسیب‌دیده و اجرای کد با امتیازات ریشه می‌دهد. یک وب سرولت، کلاسی است که به یک نوع خاص از درخواست شبکه (عموماً درخواست HTTP) پاسخ می‌دهد.
نسخه‌های نرم‌افزار DCNM قبل از (1)11.2 تحت تأثیر این آسیب‌پذیری قرار گرفتند. سیسکو اعلام کرد که وب سرولت تحت تأثیر قرارگرفته را در نسخه‌ی (1)11.2 حذف کرده است.
نقص مهم دوم با شناسه‌ی "CVE-2019-1619"، می‌تواند توسط یک مهاجم از راه دور مورد سوءاستفاده قرار گیرد تا احراز هویت را دور بزند و فعالیت‌های دلخواه ازجمله به‌دست آوردن یک جلسه‌ی کوکی معتبر را بدون داشتن نام کاربری و گذرواژه‌ی مدیر‌، مدیریت کند.
بهره‌برداری از این آسیب‌پذیری شامل ارسال یک درخواست HTTP به‌طور خاص ساخته‌شده به دستگاه آسیب‌دیده برای به‌دست آوردن جلسه‌ی کوکی است. پس از آن، مهاجمان می‌توانند بدون داشتن امتیازات مدیریتی، کنترل دستگاه را به دست آورند.
این نقص به دلیل مدیریت نامناسب جلسات در نسخه‌های قبل از (1)11.1 در نرم‌افزار DCNM وجود دارد. به‌گفته‌ی سیسکو، وب سرولت تحت تأثیر قرارگرفته به‌طور کامل از نسخه‌ی (1)11.1 حذف شده است و از کاربران خواسته شده است تا نرم‌افزار خود را به این نسخه ارتقا دهند.
آسیب‌پذیری جدی دیگر در DCNM، "CVE-2019-1621" است که به یک مهاجم از راه دور اجازه‌ی دسترسی به فایل‌های حساس و دانلود آن‌ها را می‌دهد. برای راه‌اندازی این حمله، نیاز به درخواست URL خاص، بدون احراز هویت است.
سیسکو همچنین اعلام کرد که DCNM تحت تأثیر یک مسئله‌ی افشای اطلاعات است که می‌تواند از راه دور و بدون احراز هویت برای دریافت فایل‌های ورودی و اطلاعات تشخیصی از دستگاه هدف مورد استفاده قرار گیرد. این حفره‌ی امنیتی با شناسه‌ی "CVE-2019-1622" دارای رتبه‌ی شدت متوسط است.
هنوز هیچ گزارشی مبنی بر سوءاستفاده‌ی گسترده از این آسیب‌پذیری‌ها منتشر نشده است و سه نقص مهم DCNM با به‌روزرسانی نرم‌افزارها برطرف شدند، اما به نظر می‌رسد که هیچ وصله یا راه‌حلی برای مسئله‌ی دارای شدت متوسط وجود ندارد.

از اوایل سال جاری، شماری از تجهیزات #‫UTM نام‌های تجاری #‫سوفوس و #‫سایبروم مورد استفاده در کشور به دلیل اعمال تحریم شرکت مادر (سوفوس) دچار مشکلاتی نظیر انقضای مجوز و محدودیت در خدمات شده‌اند. این موضوع و راه‌هکارهای برخورد با آن طی جلساتی با شرکت‌های وارد کننده و خدمات‌دهنده‌ی عمده‌ی این محصولات مورد بررسی قرار گرفت. لذا سازمان‌ها و شرکت‌های مصرف کننده‌ی این تجهیزات توجه‌ داشته باشند که این موضوع سراسری بوده و بهره‌برداران مختلف را تحت تاثیر قرار داده است. بنابراین توصیه می‌گردد حداکثر همکاری بین شرکت‌های تامین‌کننده و مصرف کننده جهت اتخاذ راهکارهای جایگزین صورت پذیرد.

#‫موزیلا درروزهای پایانی ماه ژوئن سال 2019 و به فاصله‌ی دو روز، دو به‌روزرسانی امنیتی جهت رفع دو #‫آسیب‌پذیری روز صفرم بحرانی منتشر ساخته است. این آسیب‌پذیری‌ها به همراه یکدیگر کار می‌کنند و به طور گسترده‌ای در حمله به کارکنان Coinbase و سایر سازمان‌های رمزنگاری، مورد سوءاستفاده قرار گرفته‌اند.
اولین آسیب‌پذیری روز صفرم موزیلا، یک آسیب‌پذیری سردرگمی نوع (type confusion) است و زمانی رخ می‌دهد که اشیای JavaScript به دلیل اشکالاتی در Array.pop، دستکاری شوند. سوءاستفاده از این آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد کد مخرب را درون فرایند بومی فایرفاکس اجرا کنند؛ اما پس از آن نیاز دارند جعبه‌شنی را دور بزنند. این آسیب‌پذیری، علاوه بر اجرای کد دلخواه، به احتمال زیاد برای اسکریپت‌نویسی متقابل جهانی (UXSS) نیز می‌تواند مورد سوءاستفاده قرار گیرد؛ اما به هدف مهاجم بستگی دارد. این نقص (CVE-2019-11707)، در روز پانزدهم ماه آوریل سال 2019، توسط یک محقق Google Project Zero کشف و به موزیلا گزارش شد. موزیلا پس از گزارش تیم امنیتی Coinbase مبنی بر حملات سوءاستفاده از این آسیب‌پذیری به همراه دومین آسیب‌پذیری روز صفرم (CVE-2019-11708)، با انتشار Firefox 67.0.3 و Firefox ESR 60.7.1، اولین آسیب‌پذیری روز صفرم را وصله کرد.
دومین آسیب‌پذیری روز صفرم که موزیلا آن را با عنوان «دوزدن جعبه‌شنی» توصیف می‌کند، به عاملین مخرب اجازه می‌دهد فرایندهای حفاظت‌شده‌ی Firefox را دور بزنند و کد دلخواه را اجرا کنند. موزیلا دومین آسیب‌پذیری روزصفرم را دو روز پس از رفع اولین آسیب‌پذیری روز صفرم، با انتشار نسخه‌‌های Firefox 67.0.4 و Firefox ESR 60.7.2، وصله ساخت. این نسخه‌ها در حال حاضر از طریق مکانیزم به‌روزرسانی داخلی برای کاربران موزیلا در دسترس هستند.
این دو آسیب‌پذیری روز صفرم، توسط گروه هک ناشناخته‌ای استفاده شده‌اند تا کارمندان Coinbase را آلوده سازند. کارمندان Coinbase رایانامه‌های فیشینگ حاوی لینک‌هایی به سایت‌های مخرب را دریافت می‌کنند. اگر بر روی این لینک‌ها کلیک و از سایت بازدید کنند (در صورت استفاده از موزیلا)، آن صفحه‌ی سایت، یک سارق اطلاعاتی را در سیستم‌هایشان دانلود و اجرا می‌کند. سارق اطلاعاتی می‌تواند گذرواژه‌ها یا دیگر اطلاعات این مرورگر را جمع‌آوری و استخراج کند.
این حملات برای هر دو کاربران سیستم‌عامل‌های مک و ویندوز طراحی شده‌اند. برای هر سیستم‌‌عامل، جریان‌های بدافزاری متفاوتی ارایه شده است. این حملات، هفته‌ها، پیش از آنکه تشخیص داده شوند، جریان داشتند. به گفته‌ی Coinbase، این حملات تنها محدود به کارمندان آن نبوده‌اند و سازمان‌های رمزنگاری دیگر را نیز هدف قرار داده‌اند.
موزیلا هر دوی این آسیب‌پذیری‌ها را در سرویس‌گیرنده‌ی رایانامه‌ی Thunderbird، با انتشار Thunderbird 60.7.2، برطرف ساخته است.
پیش‌بینی می‌شود در روزهای آینده رفع دومین آسیب‌پذیری روز صفرم برای مرورگر Tor نیز منتشر شود. در حال حاضر، تیم مرورگر Tor با به‌روزرسانی به نسخه‌ی 8.5.2، فقط اولین آسیب‌پذیری روزصفرم را برطرف ساخته است.
از آنجاییکه این آسیب‌پذیری به طور گسترده‌ای مورد سوءاستفاده قرار گرفته اند، یک آسیب‌پذیری جدی برای کاربران مرورگر موزیلا محصسوب می‌شود و کابران باید مطمئن شوند سیستم‌هایشان به آخرین نسخه‌های Firefox و Thunderbird، به‌روزرسانی شده‌اند.

#‫مایکروسافت به‌روزرسانی امنیتی خود در ماه ژوئن را منتشر کرد. این به‌روزرسانی شامل 4 هشدار امنیتی و رفع 88 آسیب‌پذیری است که 21 مورد از آن‌ها به‌عنوان «بحرانی» طبقه‌بندی شده‌اند. برخی از این هشدارهای امنیتی شامل درایورهای به‌روزشده و نرم‌افزاری هستند که آسیب‌پذیری‌های سخت‌افزاری و نرم‌افزاری شخص ثالث مانند Adobe Flash Player را رفع می‌کنند.
مایکروسافت با انتشار این به‌روزرسانی، چهار آسیب‌پذیری روز صفرم را رفع کرد که یک محقق امنیتی به نام "SandboxEscaper" طی یک ماه گذشته به‌صورت برخط آن‌ها را منتشر کرده بود. هر چهار آسیب‌پذیری، نقص‌های افزایش امتیاز هستند که بر روی ویندوز تأثیر می‌گذارند و عبارتند از:
• "CVE-2019-1069"- آسیب‌پذیری موجود در برنامه‌ی زمانبندی ویندوز (BearLPE).
• "CVE-2019-1064"- آسیب‌پذیری افزایش امتیاز در ویندوز (CVE-2019-0841-BYPASS) که مایکروسافت در ماه آوریل آن‌را وصله کرد، اما " SandboxEscaper" توانست وصله‌ی مایکروسافت را دور بزند و بار دیگر از آن سوءاستفاده کند. به‌نظر می‌رسد این اشکال در این به‌روزرسانی، به‌طور کامل رفع شده است.
• "CVE-2019-1053"- آسیب‌پذیری موجود در Windows Shell که می‌تواند با فرار از یک sandbox، منجر به افزایش امتیاز بر روی سیستم آسیب‌دیده شود (SandboxEscape).
• "CVE-2019-0973"- آسیب‌پذیری ارتقای مجوز در نصب‌کننده‌ی ویندوز (InstallerBypass).
مایکروسافت همچنین در این ماه، چهار نقص اجرای کد از راه دور (RCE) با شناسه‌های "CVE-2019-9500"، "CVE-2019-9501"، "CVE-2019-9502" و "CVE-2019-9503" را که بر روی تراشه‌های بی‌سیم "Broadcom" موجود در دستگاه‌های "HoloLens" تأثیر می‌گذارند، رفع کرد.
این شرکت همچنین هشدار داد که برخی از کلیدهای امنیتی مبتنی بر بلوتوث، پس از اعمال وصله‌های این ماه، از کار خواهند افتاد.
مایکروسافت در واقع به کلیدهای امنیتی "Feitian" و "Google Titan" اشاره دارد که حاوی تنظیمات غلط در پروتکل‌های جفت‌سازی بلوتوث هستند و به مهاجم اجازه می‌دهند تا با کلید ارتباط برقرار کند.
به‌روزرسانی مهم دیگری نیز برای رفع اشکال (CVE-2019-7845) در فلش‌پلیر منتشر شد. این اشکال می‌تواند منجر به اجرای کد دلخواه در دستگاه قربانی شود. Adobe همچنین وصله‌هایی برای سه آسیب‌پذیری مهم در "ColdFusion" و هفت اشکال در "Adobe Campaign" که یکی از آن‌ها بسیار مهم است، منتشر کرد.
به همه‌ی کاربران محصولات مایکروسافت توصیه می‌شود تا هرچه سریع‌تر این آسیب‌پذیری‌ها را با دریافت آخرین به‌روزرسانی وصله کنند تا از سوءاستفاده از این اشکالات توسط مهاجمان سایبری جلوگیری کنند. کاربران می‌توانند برای نصب به‌روزرسانی‌ها، مسیر " Settings → Update & security → Windows Update → Check for updates" را دنبال کرده یا به‌طور دستی به نصب آخرین به‌روزرسانی‌ها اقدام کنند.

#‫بدافزار جدیدی در فروشگاه #‫گوگل_پلی کشف شده است که کاربران را به وب‌سایت‌های مخرب هدایت می‌کند و به شکل منظم برایشان اعلان‌های تبلیغاتی قرار می‌دهد. این بدافزار به صورت پنهان و تحت نرم‌افزار رسمی برند‌های مشهور توزیع شده است.
اعلان‌های وب یک ویژگی است که به وب‌سایت‌ها اجازه می‌دهد که اعلان‌هایشان را برای کاربران ارسال کنند، حتی اگر وب‌سایت مربوطه باز نباشد. مهاجمان هم با انتشار تبلیغات و اعلان‌های جعلی و کلاهبرداری که از وب‌سایت‌های هک‌شده و مخرب می‌آیند، از این ویژگی سوءاستفاده می‌کنند.
طبق گزارش تیم امنیتی Dr.web، تروجان Android.FakeApp.174 یکی از اولین بدافزار‌هایی است که به مهاجمان کمک می‌کند تا تعداد بازدیدکنندگان این وب‌سایت‌های جعلی و مخرب را افزایش دهند و همچنین اعلان‌هایشان را برای کاربران تلفن‌های هوشمند و تبلت‌ها نیز به اشتراک بگذارند.
محققان دو نوع از این نرم‌افزارها را در فروشگاه گوگل کشف کرده‌اند که وب‌سایت‌های مخرب را از طریق مرورگر کروم بارگذاری می‌کنند و چندین تغییر مسیر را به صفحات برنامه‌های مختلف وابسته انجام می‌دهند.
هر یک از صفحات بازدید شده، اعلان‌هایی را به کاربران نشان می‌دهند و به کاربران اطلاع می‌دهد که این اعلان‌ها برای اهدافی مثل احراز هویت هستند. همین امر منجر به افزایش تعداد اشتراک‌های موفق مهاجمان می‌شود.
هنگامی که اشتراکی تایید می‌شود، وب‌سایت‌ها شروع به قرار دادن اعلان‌های جعلی مختلفی از جمله جوایز نقدی، پیام‌های انتقال، پیام‌های جدید در رسانه‌های اجتماعی و تبلیغاتی شامل طالع بینی، کالاها و خدمات و یا حتی اخبار مختلف می‌کنند.
این اعلان‌های جعلی به نظر خیلی واقعی می‌آیند و از طرف سرویس‌های آنلاین محبوب هستند و همچنین لینک وب‌سایتی معتبری که اعلان مربوطه از آن می‌آید را هم دارند که منجر به، معتبر به نظر رسیدن آن‌ها می‌شود.
با کلیک کردن کاربر بر روی لینک اعلان‌های مورد نظر، آن‌ها به صفحه با محتوای مخرب هدایت می‌شوند که شامل تبلیغات مختلف، فروشگاه‌های شرط‌بندی، برنامه‌های مختلف فروشگاه گوگل پلی، تخفیف‌ها، نظرسنجی‌های جعلی آنلاین و سایر منابع آنلاین دیگر می‌شود که بر اساس کشور کاربر قربانی، متفاوت است.
کاربران باید هنگام بازدید از وب‌سایت‌ها مراقب باشند و در اعلان‌های مختلف و مشکوک، مشترک نشوند. همچنین به کاربران اندرویدی که قبلاً برای اعلانی مشترک شده‌اند، توصیه می‌شود که مراحل زیر را برای خلاص شدن از این اعلان‌های اسپم انجام دهند.
• در تنظیمات مرورگر کروم ابتدا به Site Settings و بعد به Notifications بروید.
• در فهرست وب‌سایت‌های دارای اعلان، آدرس وب‌سایت را پیدا کنید و روی آن ضربه بزنید و Clear & reset را انتخاب کنید.

شرکت #‫سیسکو وصله مربوط به چندین #‫آسیب‌پذیری در سطح بحرانی و شدید موجود در محصولاتش از جمله SD-WAN، DNA Center، TelePresence، StarOS، RV router، Prime Service Catalog و Meeting Server را منتشر کرد.
طبق گفته سیسکو، محصول DNA Center (مرکز معماری شبکه دیجیتال) این شرکت، تحت‌تاثیر یک آسیب‌پذیری بحرانی قرار دارد که به یک مهاجم شبکه، اجازه دور زدن احراز هویت و دسترسی به سرویس های داخلی بحرانی را می‌دهد.
رابط کاربری خط فرمان (CLI) در محصول SD-WAN هم دارای یک آسیب‌پذیری بحرانی است که می‌تواند توسط یک مهاجم محلی برای افزایش سطح دسترسی به روت و تغییر دلخواه پیکربندی سیستم مورد بهره‌برداری قرار گیرد.
این محصول SD-WAN تحت‌تاثیر یک آسیب‌پذیری در سطح شدید دیگر قرار دارد که امکان افزایش سطح دسترسی از طریق رابط کاربری تحت وب vManage را فراهم می‌کند. این محصول با یک آسیب‌پذیری در سطح شدید دیگر هم روبروست که به مهاجم از راه دور و احراز هویت شده، اجازه اجرای دستورات با سطح دسترسی روت را می‌دهد.
یک آسیب‌پذیری شدت بالا نیز که منجر به ایجاد شرایط منع سرویس می‌شود، در سیستم‌عامل StarOS و چندین RV router کشف شده است که می‌تواند بدون احراز هویت از راه دور مورد بهره‌برداری قرار گیرد.
دیگر آسیب‌پذیری‌های شدید که در هفته جاری توسط سیسکو رفع شده‌اند، عبارتند از یک آسیب‌پذیریCSRF در نرم‌افزار Prime Service Catalog و یک آسیب‌پذیری تزریق دستور در Meeting Server و نرم‌افزار TelePresence.
سیسکو همچنین بیش از دوازده آسیب‌پذیری در سطح متوسط را در سرویس‌های نرم‌افزاری گسترده، RV router ، Prime Service Catalog ، Prime Infrastructure Virtual Domain ، Integrated Management Controller ، Email Security Appliance ، Security Manager و Enterprise Chat and Email رفع کرده است.
طبق گفته سیسکو، تابحال هیچ شواهدی از بهره‌برداری مخرب از این آسیب‌پذیری‌ها ارائه نشده است زیرا بسیاری از این حفره‌های امنیتی توسط خود سیسکو در حین آزمایشات امنیتی داخلی کشف شده است.

دو روز پیش، #‫سیسکو وصله #‫آسیب‌پذیری بحرانی موجود در رابط کاربری تحت وب نرم‌افزار IOS XE خود را منتشر کرد. این آسیب‌پذیری می‌تواند به مهاجم احراز هویت نشده و از راه دور اجازه اجرای حملات CSRF روی سیستم آسیب‌پذیر را بدهد.
این آسیب‌پذیری ناشی از عدم اعتبارسنجی در رابط کاربری تحت وب است و به مهاجم اجازه می‌دهد که آن را با متقاعد کردن کاربر فعلی به دنبال کردن یک لینک مخرب، اکسپلویت کند. بهره‌برداری موفق از این آسیب‌پذیری، به مهاجم اجازه اجرای کد دلخواه را با سطح دسترسی کاربر آسیب‌پذیر می‌دهد.
اگر کاربر آسیب‌پذیر دارای سطح دسترسی مدیریتی باشد، مهاجم می‌تواند دستورات را اجرا کند، دستگاه را بارگذاری مجدد کند و همچنین پیکربندی دستگاه آسیب‌پذیر را تغییر دهد.
این آسیب‌پذیری در حین آزمایش امنیتی داخلی شناسایی شد و می‌توان آن را با شناسه CVE-2019-1904 دنبال کرد.
تیم امنیتی محصولات سیسکو (PSIRT) از وجود کد اکسپلویت این آسیب‌پذیری آگاه است، اما تابحال هیچ گزارشی از عمومی شدن این کد اکسپلویت ارائه نشده است.
مدیران می‌توانند نسخه نرم‌افزار IOS XE سیسکو بر روی دستگاه خود را با اجرای دستور زیر تشخیص دهند.
ios-xe-device# show version
سیسکو تایید می‌کند که تابحال هیچ راه‌حلی برای رفع این موضوع ارائه نشده است و توصیه می‌شود که برای از بین بردن بردار حمله تا زمانی که سیستم آسیب‌پذیر به‌روزرسانی می‌شود، ویژگی HTTP Server غیر فعال شود.
مدیران می‌توانند ویژگی HTTP Server خود را با استفاده از دستور no ip http server یا no ip http secure-server در حالت پیکربندی جهانی غیرفعال کنند.