بهروزرسانی امنیتی سیسکو برای رفع آسیبپذیری بحرانی موجود در ESC
سیسکو بهروزرسانیهای امنیتی را برای رفع یک آسیبپذیری بحرانی که ابزار اتوماسیون خودکار مجازی این شرکت با نام «کنترلکنندهی خدمات الاستیکی سیسکو (ESC)» را تحت تأثیر قرار میدهد، منتشر کرد. یک مهاجم میتواند از راه دور این نقص را مورد سوءاستفاده قرار دهد و کنترل سیستمهای آسیبدیده را بهدست آورد.
به گزارش پایگاه تحلیلی خبری بانک و صنعت به نقل از مرکز ماهر، ESC، یک مدیر توابع مجازی شبکه است که شرکتهای تجاری را قادر میسازد تا بهطور خودکار، استقرار و نظارت بر توابع در حال اجرا بر روی ماشینهای مجازی خود را انجام دهند.
این آسیبپذیری دورزدن احراز هویت ("CVE-2019-1867") که دارای امتیاز CVSS 10 است و یک نقص حیاتی بهشمار میآید، به دلیل اعتبارسنجی نامناسب درخواستهای API در تابع REST است. REST ارتباط بین مشتری و سرور مبتنی بر وب است که از محدودیتهای انتقال حالت نمایندگی (REST) استفاده میکند.
یک آسیبپذیری در REST API از ESC میتواند به مهاجم ناشناس برای دور زدن احراز هویت در REST API کمک کند.
مهاجم میتواند با ارسال یک درخواست ساختهشده به REST API، از این آسیبپذیری بهرهبرداری کند. یک سوءاستفادهی موفق میتواند به مهاجم اجازه دهد تا عملیات دلخواه را از طریق REST API و با اختیارات اداری در سیستم آسیبدیده اجرا کند.
این نقص نسخههای 4.1، 4.2، 4.3، یا 4.4 از کنترلکنندهی خدمات الاستیکی سیسکو که حالت REST API در آنها فعال است، تحت تأثیر قرار میدهد (REST API بهطور پیشفرض فعال نیست).
سیسکو اعلام کرد که هیچ نشانهای از سوءاستفادهی گسترده از این آسیبپذیری وجود ندارد و این شرکت آنرا با انتشار نسخهی 4.5 رفع کرده است.
به کاربران توصیه میشود وصلههایی که برای این رفع این آسیبپذیری منتشر شدهاند، بهکار گیرند. این وصلهها برای نسخههای زیر در دسترس هستند:
نسخهی نرمافزار کنترلکنندهی خدمات الاستیکی سیسکو
|
نسخههای نرمافزار دارای وصلهی منتشرشده
|
پیش از 4.1
|
آسیبناپذیر
|
4.1
|
4.1.0.100
4.1.0.111
|
4.2
|
4.2.0.74
4.2.0.86
|
4.3
|
4.3.0.121
4.3.0.128
4.3.0.134
4.3.0.135
|
4.5
|
4.4.0.80
4.4.0.82
4.4.0.86
|
|
آسیبناپذیر
|
URL: https://www.bankosanat.ir:443/News/بهروزرسانی-امنیتی-سیسکو-برای-رفع-اسیبپذیری-بحرانی-موجود-در-ESC.bos