Tuần trước, Cisco đã phát hành các bản vá để khắc phục các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Expressway Series và Máy chủ truyền thông video TelePresence VCS, cho phép tin tặc leo thang đặc quyền và thực thi mã tùy ý.
Hai lỗ hổng - có định danh CVE-2022-20754 và CVE-2022-20755 (điểm CVSS: 9,0) - liên quan đến vấn đề ghi tệp tùy ý và lỗ hổng chèn câu lệnh (command) trong API và giao diện quản lý trên web của hai sản phẩm, có thể gây ảnh hưởng nghiêm trọng đến các hệ thống bị ảnh hưởng.
Cisco cho biết cả hai lỗ hổng đều bắt nguồn từ việc thiếu kiểm tra, xác thực dữ liệu đầu vào do người dùng cung cấp.
Ngoài ra, Cisco cũng đã khắc phục ba lỗ hổng trong các sản phẩm khác, bao gồm:
CVE-2022-20665 (Điểm CVSS: 6.0) - Lỗ hổng command injection trong Cisco StarOS, cho phép kẻ tấn công có quyền quản trị thực thi mã tùy ý.
CVE-2022-20756 (Điểm CVSS: 8.6) - Lỗ hổng từ chối dịch vụ (DoS) ảnh hưởng đến tính năng RADIUS của Cisco Identity Services Engine (ISE)
CVE-2022-20762 (Điểm CVSS: 7,8) - Lỗ hổng leo thang đặc quyền trong Cisco Ultra Cloud Core, cho phép kẻ tấn công đã xác thực leo thang lên đặc quyền root.
Công ty cho biết các lỗ hổng đều được phát hiện trong quá trình kiểm tra bảo mật nội bộ hoặc quá trình giải quyết của Trung tâm hỗ trợ kỹ thuật (TAC) của Cisco.
Hiện không có dấu hiệu nào cho thấy các lỗ hổng đã bị khai thác trong thực tế.
Để giảm thiểu mọi rủi ro liên quan đến các lỗ hổng, người dùng nên cập nhật lên phiên bản mới nhất của các sản phẩm ngay khi có thể.
Nguồn: thehackernews.com
Tín nhiệm mạng | Công ty sản xuất chip NVIDIA xác nhận bị tin tặc tấn công và xâm phạm vào dữ liệu nhạy cảm, bao gồm mã nguồn liên quan đến công nghệ Deep Learning Super Sampling
Tín nhiệm mạng | Các lỗ hổng nghiêm trọng trong VoIPmonitor cho phép kẻ tấn công không cần xác thực có thể leo thang đặc quyền lên cấp quản trị viên và thực thi lệnh tùy ý.
Tín nhiệm mạng | Năm lỗ hổng bảo mật trong thư viện truyền thông đa phương tiện mã nguồn mở PJSIP có thể bị lạm dụng để thực thi mã tùy ý và từ chối dịch vụ (DoS) trong các ứng dụng sử dụng giao thức stack.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tạo ra một bản sao của Apple Airtag để vượt qua công nghệ bảo vệ chống theo dõi được tích hợp trong giao thức theo dõi dựa trên Bluetooth Find My.
Tín nhiệm mạng | Các nhà phân tích mối đe dọa dự đoán năm 2022 sẽ là điểm khởi đầu cho sự thay đổi mục tiêu chính của tin tặc từ các công ty lớn chuyển sang người tiêu dùng.
Tín nhiệm mạng | TrickBot đã ngừng hoạt động sau khi những kẻ phát triển nó chuyển sang băng đảng ransomware Conti để tập trung phát triển các phần mềm độc hại đánh cắp thông tin BazarBackdoor và Anchor.