به‌روزرسانی امنيتی سيسکو برای رفع آسيب‌پذيری بحرانی موجود در ESC

#‫سیسکو به‌روزرسانی‌های امنیتی را برای رفع یک #‫آسیب‌پذیری بحرانی که ابزار اتوماسیون خودکار مجازی این شرکت با نام «کنترل‌کننده‌ی خدمات الاستیکی سیسکو (ESC)» را تحت تأثیر قرار می‌دهد، منتشر کرد. یک مهاجم می‌تواند از راه دور این نقص را مورد سوءاستفاده قرار دهد و کنترل سیستم‌های آسیب‌دیده را به‌دست آورد.
ESC، یک مدیر توابع مجازی شبکه است که شرکت‌های تجاری را قادر می‌سازد تا به‌طور خودکار، استقرار و نظارت بر توابع در حال اجرا بر روی ماشین‌های مجازی خود را انجام دهند.
این آسیب‌پذیری دورزدن احراز هویت ("CVE-2019-1867") که دارای امتیاز CVSS 10 است و یک نقص حیاتی به‌شمار می‌آید، به دلیل اعتبارسنجی نامناسب درخواست‌های API در تابع REST است. REST ارتباط بین مشتری و سرور مبتنی بر وب است که از محدودیت‌های انتقال حالت نمایندگی (REST) استفاده می‌کند.
یک آسیب‌پذیری در REST API از ESC می‌تواند به مهاجم ناشناس برای دور زدن احراز هویت در REST API کمک کند.
مهاجم می‌تواند با ارسال یک درخواست ساخته‌شده به REST API، از این آسیب‌پذیری بهره‌برداری کند. یک سوءاستفاده‌ی موفق می‌تواند به مهاجم اجازه دهد تا عملیات دلخواه را از طریق REST API و با اختیارات اداری در سیستم آسیب‌دیده اجرا کند.
این نقص نسخه‌های 4.1، 4.2، 4.3، یا 4.4 از کنترل‌کننده‌ی خدمات الاستیکی سیسکو که حالت REST API در آن‌ها فعال است، تحت تأثیر قرار می‌دهد (REST API به‌طور پیش‌فرض فعال نیست).
سیسکو اعلام کرد که هیچ نشانه‌ای از سوءاستفاده‌ی گسترده از این آسیب‌پذیری وجود ندارد و این شرکت آن‌را با انتشار نسخه‌ی 4.5 رفع کرده است.
به کاربران توصیه می‌شود وصله‌هایی که برای این رفع این آسیب‌پذیری منتشر شده‌اند، به‌کار گیرند. این وصله‌ها برای نسخه‌های زیر در دسترس هستند: