Cisco устранила серию брешей в продуктах IOS и IOS XE

image

Теги: уязвимость, отказ в обслуживании, перезагрузка, маршрутизатор

Эксплуатация уязвимостей позволяла осуществить отказ в обслуживании и обойти авторизацию.

Компания Cisco исправила ряд проблем в платформах IOS и IOS XE, в их числе три DoS-уязвимости и уязвимость, позволяющуя обход авторизации через SSH.

Как указывается в бюллетене безопасности компании, брешь в протоколе SSHv2, реализованном в продуктах Cisco IOS и IOS XE, позволяла неавторизованному атакующему удаленно обойти аутентификацию пользователя. Успешная эксплуатация бреши давала возможность злоумышленнику войти в систему с привилегиями пользователя или с привилегиями, сконфигурированными для командного интерфейса Virtual Teletype (VTY). В зависимости от конфигураций атакующий мог получить привилегии администратора на системе. Как указывается, успешная атака возможна только в случае, если преступнику известно действительное имя пользователя, и он владеет соответствующим открытым ключом.

Следующая исправленная уязвимость связана с некорректной обработкой пакетов IPv4 при задействовании процессов Network Address Translation (NAT) и Multiprotocol Label Switching (MPLS). Эксплуатация уязвимости позволяла неавторизованному атакующему при помощи специально сформированного пакета перезагрузить уязвимое устройство. Брешь затрагивает маршрутизаторы следующих серий: Cisco ASR 1000, ISR 4300, ISR 4400, а также CSR 1000V.

Наконец, исправлены бреши, связанные с протоколом Обнаружения Соседей (Neighbor Discovery Protocol), используемом совместно с IPv6. Эксплуатация одной из них позволяла атакующему осуществить перезагрузку устройства, использующего функцию CGA (Cryptographically Generated Address) при помощи отправки специально созданного пакета. Проэксплуатировав вторую преступник мог вызвать отказ в обслуживании путем отправки на уязвимое устройство большого количество специально сконфигурированных IPv6-пакетов.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.