Sikkerhedsforskere rapporterede, at softwarevirksomheder Cisco og VMWare har udgivet sikkerhedsrådgivning vedrørende flere kritiske sårbarheder i deres produkter.
CVE-2023-20887: VMWare-sårbarhederne
VMWare har udstedt opdateringer til at løse tre væsentlige fejl inden for Aria Operations for Networks, der kan føre til eksponering af information og fjernudførelse af kode.
Den mest alvorlige af fejlene, spores som CVE-2023-20887 og har en score på 9.8 ud af 10 på CVSS-scoresystemet, ville give en angriber med netværksadgang til systemet muligheden for at udføre fjernudførelse af kode.
Virksomheden har også rettet en deserialiseringssårbarhed, CVE-2023-20888, rangeret 9.1 ud af 10 på CVSS skala.
Mens en person med et 'medlem’ rolle og netværksadgang til Aria Operations for Networks har potentialet til at udnytte denne sårbarhed, udføre et deserialiseringsangreb og efterfølgende fjernudførelse af kode, en tredje sikkerhedssårbarhed, en oplysningsfejl med en CVSS-score på 8.8 (CVE-2023-20889) blev også fastsat.
Denne fejl, hvis udnyttet, kunne tillade et kommandoinjektionsangreb, der ville give en angriber adgang til fortrolige data.
De tre fejl i VMware Aria Operations Networks version 6.x er blevet rettet gennem patches i efterfølgende versioner 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9, og 6.10, uden nogen mulig løsning for at afhjælpe de givne problemer.
CVE-2023-20105: Ciscos sårbarheder
Endvidere, med CVE-2023-20105, som har en CVSS-score på 9.6, Cisco har leveret en rettelse til en kritisk sårbarhed i Expressway Series og TelePresence Video Communication Server (VCS); da det er en privilegie-eskaleringsfejl, en autentificeret angriber med skrivebeskyttede legitimationsoplysninger på administratorniveau kan muligvis øge deres adgang til en læse-skrivebruger på et berørt system ved at ændre adgangskoder.
Cisco har for nylig rettet tilstedeværelsen af to alvorlige sikkerhedsfejl i dets VCS-produkt (CVE-2023-20192, CVSS-score på 8.4, og CVE-2023-20193). Som en midlertidig foranstaltning for at beskytte mod sårbarhederne, virksomheden har foreslået, at CLI-adgang skal deaktiveres for skrivebeskyttede brugere. Også, VCS versioner 14.2.1 og 14.3.0 blev frigivet for at løse de førnævnte sikkerhedsproblemer.
Desuden, tre andre sårbarheder i Open-Source Graphics Debugger, RenderDoc (CVE-2023-33863, CVE-2023-33864, og CVE-2023-33865) blev afsløret, der kunne give angribere eskalerede privilegier og sætte dem i stand til at køre vilkårlig kode. Der er endnu ingen rapport om, at disse smuthuller bliver udnyttet i naturen, men det anbefales stærkt, at de berørte parter retter deres systemer hurtigt for at beskytte mod eventuelle potentielle risici.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: