Cisco objavil kritične popravke za IOS

Cisco je objavil popravke za štiri kritične ranljivosti v usmerjevalnikih, ki uporabljajo sistema IOS in IOS XE.

Vse štiri ranljivosti so bile objavljene v sklopu junijskega paketa objav. Vse štiri ranljivosti omogočajo zagon poljubnih ukazov, prve tri na daljavo, zadnja pa lokalno. Najhujša pomanjkljivost ima oznako CVE-2020-3227 in omogoča napadalcu, da na daljavo izvaja API ukaze brez prave avtorizacije, gre pa za napako pri obdelavi avtorizacijskih žetonov. Naslednja je CVE-2020-3205, tu gre za vrivanje ukazov (command injection) v komunikacijo med sistemom in virtualno napravo, ki teče na njem.

• 100.000 dolarjev za odkrito luknjo v Applovem sistemu prijave

Zadnji dve kritični napaki sta CVE-2020-3198 in CVE-2020-3258. Pri prvi bi lahko napadalec dobil dostop do naprave na daljavo, če bi napravi poslal pravilno ustvarjen paket UDP – pri tem se priporoča omejitev prometa na UDP vrata 9700 na vnaprej določene naslove. Druga napaka pa naj bi bila manj resna, saj gre za lokalni vdor uporabnika brez avtentikacije.

Vse naštete ranljivosti je odkrila ekipa podjetja Cisco, več o njih pa v njihovi uradni objavi.