قامت Cisco هذا الأسبوع بشحن تصحيحات لمعالجة جولة جديدة من الثغرات الأمنية الحرجة التي تؤثر على Expressway Series و Cisco TelePresence Video Communication Server (VCS) والتي يمكن أن يستغلها المهاجم للحصول على امتيازات عالية وتنفيذ تعليمات برمجية عشوائية.
العيبان - تعقبها CVE-2022-20754 و CVE-2022-20755 (درجات CVSS: 9.0) - تتعلق بكتابة ملف تعسفي وخلل في إدخال الأوامر في واجهة برمجة التطبيقات وواجهات الإدارة المستندة إلى الويب للمنتجين والتي يمكن أن يكون لها تأثيرات خطيرة على الأنظمة المتأثرة.
قالت الشركة إن كلا المشكلتين تنبعان من عدم كفاية التحقق من صحة المدخلات لوسائل الأمر التي يوفرها المستخدم ، وهي نقطة ضعف يمكن تسليحها من قبل مهاجم بعيد وموثق لتنفيذ هجمات اجتياز الدليل ، والكتابة فوق الملفات التعسفية ، وتشغيل تعليمات برمجية ضارة على نظام التشغيل الأساسي كمستخدم جذر.
"تم اكتشاف هذه الثغرات الأمنية أثناء اختبار الأمان الداخلي من قبل جيسون كراودر من مجموعة سيسكو للمبادرات الأمنية المتقدمة (ASIG) ،" أشارت الشركة في استشاريها الذي نشر يوم الأربعاء.
تعالج Cisco أيضًا ثلاثة عيوب أخرى في StarOS و Cisco Identity Services Engine RADIUS Service و Cisco Ultra Cloud Core - برنامج Subscriber Microservices Infrastructure -
- CVE-2022-20665 (درجة CVSS: 6.0) - ثغرة أمنية في إدخال الأوامر في Cisco StarOS والتي قد تسمح لمهاجم لديه بيانات اعتماد إدارية بتنفيذ تعليمات برمجية عشوائية بامتيازات الجذر
- CVE-2022-20756 (درجة CVSS: 8.6) - ثغرة أمنية في رفض الخدمة (DoS) تؤثر على ميزة RADIUS محرك خدمات الهوية من Cisco (ISE)
- CVE-2022-20762 (درجة CVSS: 7.8) - عيب في تصعيد الامتياز في بيئة التنفيذ المشتركة (CEE) ConfD CLI من Cisco Ultra Cloud Core - برنامج البنية التحتية للخدمات الصغيرة للمشتركين (SMI) الذي يمكن أن يسمح لمهاجم محلي موثق بالتصعيد إلى امتيازات الجذر
أشارت Cisco أيضًا إلى أنها لم تعثر على أي دليل على الاستغلال الضار للثغرات الأمنية ، مضيفة أنه تم العثور عليها أثناء اختبار الأمان الداخلي أو أثناء حل حالة دعم Cisco Technical Assistance Center (TAC).
ولكن مع ذلك ، يتم حث العملاء على التحديث إلى أحدث الإصدارات في أسرع وقت ممكن للتخفيف من أي هجمات محتملة في البرية.
