Mới đây, Cisco đã tung ra thị trường các bản cập nhật bảo mật cho ba lỗ hổng ảnh hưởng đến nhiều sản phẩm, bao gồm một điểm yếu được xếp hạng cao trong NVIDIA vào cuối tháng trước.
CVE-2022-28199 (điểm CVSS: 8,6), lỗ hổng bảo mật bắt nguồn từ việc thiếu xử lý lỗi thích hợp trong ngăn xếp mạng của DPDK, cho phép kẻ thù từ xa kích hoạt điều kiện từ chối dịch vụ (DoS) và gây ra tác động xấu đến tính toàn vẹn cũng như tính bí mật của dữ liệu.
“Nếu tình trạng lỗi được quan sát thấy trên giao diện thiết bị, thiết bị có thể phải khởi động lại hoặc không nhận được lưu lượng, dẫn đến tình trạng từ chối dịch vụ (DoS)”, Cisco cho biết trong một thông báo được công bố vào ngày 7 tháng 9.
DPDK đề cập đến một tập hợp các thư viện và trình điều khiển thẻ giao diện mạng (NIC) được tối ưu hóa để xử lý gói tin nhanh chóng, cung cấp một khuôn khổ và API chung cho các ứng dụng mạng tốc độ cao.
Cisco cho biết họ đã điều tra dòng sản phẩm của mình và xác định các dịch vụ sau sẽ bị ảnh hưởng bởi lỗi này.
- Phần mềm Cisco Catalyst 8000V Edge
- Công cụ ảo bảo mật thích ứng (ASAv) và
- Bảo vệ an toàn tường lửa Threat Defense Virtual (trước đây là FTDv)
Ngoài CVE-2022-28199, Cisco cũng đã giải quyết một lỗ hổng trong Phần mềm quản lý vManage SD-WAN của Cisco có thể “cho phép kẻ tấn công không được xác thực, có quyền truy cập vào mạng logic VPN0 cũng có thể truy cập vào các cổng dịch vụ nhắn tin trên một hệ thống bị ảnh hưởng”.
Công ty đã đổ lỗi cho sự thiếu sót – được gán mã định danh CVE-2022-20696 (điểm CVSS: 7,5) – do không có “cơ chế bảo vệ đủ” trong các cổng vùng chứa máy chủ nhắn tin. Nó đã ghi nhận Orange Business vì đã báo cáo lỗ hổng bảo mật.
Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công xem và đưa tin nhắn vào dịch vụ nhắn tin, điều này có thể gây ra thay đổi cấu hình hoặc khiến hệ thống phải tải lại, Cisco cho biết.
Lỗ hổng thứ ba được Cisco khắc phục là lỗ hổng trong giao diện nhắn tin của Ứng dụng Cisco Webex (CVE-2022-20863, CVSS: 4.3), có thể cho phép kẻ tấn công từ xa, chưa được xác thực sửa đổi liên kết hoặc nội dung khác và tiến hành các cuộc tấn công lừa đảo. “Lỗ hổng này tồn tại do phần mềm bị ảnh hưởng không xử lý đúng cách hiển thị ký tự. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi tin nhắn trong giao diện ứng dụng.”
Cisco đã ghi nhận Rex, Bruce và Zachery từ Binance Red Team vì đã phát hiện và báo cáo lỗ hổng.
Cuối cùng, nó cũng tiết lộ chi tiết về một lỗi bỏ qua xác thực (CVE-2022-20923, CVSS: 4.0) ảnh hưởng đến các Bộ định tuyến RV110W, RV130, RV130W và RV215W của Cisco Small Business, họ cho biết lỗ hổng trên các thiêt bị này sẽ không được khắc phục do sản phầm sắp End of Life. Người dùng nên chuyển sang sử dụng các Bộ định tuyến Cisco Small Business RV132W, RV160 hoặc RV160W.