Un certain nombre de vulnérabilités de haute gravité ont été exhumés dans Cisco IOS et IOS XE logiciel d'automatisation de réseau. L'un des défauts affecte les routeurs industriels et réseau de l'entreprise, rendant l'impact incompréhensible.
Severe Cisco IOS et IOS XE vulnérabilités découvertes
Selon l'avis officiel, toutes ces vulnérabilités ont une cote de sécurité d'impact (MONSIEUR) de haut. Une exploitation réussie pourrait permettre à un attaquant d'obtenir un accès non autorisé, effectuer une attaque par injection de commande, ou causer un déni de service (DoS) état sur un périphérique affecté.
Il est à noter que deux des vulnérabilités affectent à la fois du logiciel Cisco IOS et Cisco IOS XE Software. Huit des vulnérabilités affectent logiciel Cisco IOS XE. L'une des vulnérabilités affecte l'environnement d'application Cisco IOx. Les bonnes nouvelles sont que aucun d'entre eux affectent le logiciel Cisco IOS XR ou logiciel Cisco NX-OS, a indiqué la compagnie.
Voici une liste des vulnérabilités:
CVE-2019-12652 – Cisco Catalyst 4000 Commutateurs de refus TCP de la vulnérabilité de service
CVE-2019-12648 – Cisco IOS IOx pour le logiciel d'exploitation invité non autorisée d'accès à la vulnérabilité
CVE-2019-12647 – Cisco IOS et IOS XE logiciel IP Ident vulnérabilité de déni de service
CVE-2019-12654 – Cisco IOS et IOS XE Session Initiation Protocol Software vulnérabilité de déni de service
CVE-2019-12649 – Cisco IOS XE Logiciel de vérification de signature numérique Bypass Vulnerability
CVE-2019-12658 – Logiciel Cisco IOS XE Système de fichiers Épuisement vulnérabilité de déni de service
CVE-2019-12655 – Cisco IOS XE logiciel FTP application Couche passerelle pour NAT, NAT64, et ZBFW vulnérabilité de déni de service
CVE-2019-12646 – Cisco IOS XE Logiciel NAT Session Initiation Protocol application Couche passerelle vulnérabilité de déni de service
CVE-2019-12653 – Cisco IOS XE Software Raw Socket Transport vulnérabilité de déni de service
CVE-2019-12657 – Cisco IOS XE logiciel Unified Threat Defense vulnérabilité de déni de service
CVE-2019-12650, CVE-2019-12651 – Cisco IOS XE Software interface utilisateur Web Commande Vulnérabilités d'Injection
CVE-2019-12656 – Cisco IOx application Environnement vulnérabilité de déni de service
Parmi ceux-ci, la vulnérabilité CVE-2019-12648 découvert dans l'environnement d'application IOx pour IOS a un CVSS 3.0 score de 9.9 d'un possible 10. Cela en fait le plus dangereux des défauts énumérés ci-dessus. Il est décrit comme une vulnérabilité dans l'environnement d'application IOx pour le logiciel Cisco IOS, qui pourrait permettre à une authentification, attaquant distant d'accéder non autorisé au système d'exploitation invité (OS invité) en cours d'exécution sur un périphérique affecté.
Cisco recommande aux administrateurs d'examiner les versions de Cisco IOS et IOS XE leurs appareils sont en cours d'exécution pour faire Thesy vous ont été mis à jour pour les versions qui répondent aux vulnérabilités. Jetez un oeil à la consultatif officiel pour plus d'informations.