تازه ها

امنیت

فناوری اطلاعات

May 18, 2024
12:15 شنبه، 29ام اردیبهشتماه 1403
کد خبر: 166578

هشدار سیسکو درباره آسیب پذیری تزریق دستور CLI در کنترلر مدیریت یکپارچه

یک آسیب پذیری امنیتی جدی در Cisco Integrated Management Controller (IMC) وجود دارد که می تواند توسط مهاجم برای ارتقاء امتیازات به روت استفاده شود.

شرکت سیسکو هشداری در مورد این آسیب‌پذیری صادر کرده و در دسترس بودن کد سوء استفاده اثبات‌مفهوم برای آن را تصدیق کرده است. هشدار با شدت بالا همراه با انتشار وصله ها و همچنین توجه به این است که هیچ راه حلی جز به روز رسانی نرم افزار وجود ندارد.

پس از اینکه مایکروسافت بلوک سازگاری فناوری صدای هوشمند اینتل را لغو کرد، اکنون افراد بیشتری می توانند به ویندوز 11 ارتقا دهند
این آسیب‌پذیری دارای امتیاز CVSS 8.8 است و سیسکو در مورد آن می‌گوید: «یک آسیب‌پذیری در CLI کنترل‌کننده مدیریت یکپارچه سیسکو (IMC) می‌تواند به مهاجم محلی تأیید شده اجازه دهد تا حملات تزریق فرمان را بر روی سیستم عامل اصلی انجام دهد و امتیازات را افزایش دهد. برای استفاده از این آسیب‌پذیری، مهاجم باید دارای امتیازات فقط خواندنی یا بالاتر در دستگاه آسیب‌دیده باشد.
این شرکت ادامه می دهد:
این آسیب پذیری به دلیل اعتبار سنجی ناکافی ورودی های ارائه شده توسط کاربر است. یک مهاجم می تواند با ارسال یک دستور CLI ساخته شده از این آسیب پذیری سوء استفاده کند. یک اکسپلویت موفق می تواند به مهاجم اجازه دهد تا امتیازات را به روت افزایش دهد.
سیسکو به روز رسانی های نرم افزاری را منتشر کرده است که این آسیب پذیری را برطرف می کند. هیچ راه حلی برای رفع این آسیب پذیری وجود ندارد.
یک لیست نسبتا طولانی از محصولات آسیب دیده وجود دارد:
سیستم‌های محاسباتی شبکه سازمانی سری 5000 (ENCS)
Catalyst 8300 Series Edge uCPE
سرورهای رک سری C UCS در حالت مستقل
سرورهای سری E UCS
کنترلرهای بی سیم 5520 و 8540
سرورهای کنترل کننده زیرساخت خط مشی برنامه (APIC).
Business Edition 6000 و 7000 Appliances
لوازم مرکز کاتالیزور، سابقا مرکز DNA (DNAC)
پلتفرم خدمات ابری (CSP) سری 5000
لوازم جمع آوری کننده پلت فرم خدمات مشترک (CSPC).
لوازم تجارب موبایل متصل (CMX).
سرورهای سری پلتفرم UCS ایمنی و امنیت متصل
لوازم سایبر ویژن مرکز
لوازم خانگی سری بزرگراه
گره های لبه HyperFlex
گره‌های HyperFlex در مرکز داده HyperFlex بدون حالت استقرار Fabric Interconnect (DC-NO-FI)
IEC6400 Edge Compute Appliances
لوازم خانگی IOS XRv 9000
لوازم جانبی سرور 1000 جلسه
لوازم داشبورد Nexus
لوازم زیرساخت پرایم
Prime Network Registrar Jumpstart Appliances
دروازه های ایمیل ایمن
ایمیل امن و مدیر وب
ابزارهای ابری خصوصی نقطه پایانی امن
تجهیزات مرکز مدیریت فایروال امن، که قبلاً مرکز مدیریت فایروال بود
ابزارهای تجزیه و تحلیل بدافزار ایمن
لوازم تجزیه و تحلیل شبکه ایمن
لوازم سرور شبکه ایمن
لوازم وب ایمن
سرورهای بار کاری ایمن
لوازم کارگزار تله متری

در این زمینه از آرشیو ایستنا:

    • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.