Cisco предупредила об эксплоитах для критических уязвимостей в коммутаторах

5

Cisco предупредила об эксплоитах для критических уязвимостей в коммутаторах

Уязвимости позволяют выполнить произвольный код с правами суперпользователя и загрузить произвольные файлы.


Компания Cisco предупредила о доступности эксплоитов для трех уязвимостей в устройствах Cisco Small Business 220 Series Smart Switches, исправленных в начале августа.

Одна из них является проблемой удаленного выполнения кода ( CVE-2019-1913 ), а вторая — уязвимостью обхода аутентификации ( CVE-2019-1912 ). Удаленный неавторизованный злоумышленник может проэксплуатировать их для выполнения произвольного кода с правами суперпользователя и загрузки произвольных файлов. Третья уязвимость ( CVE-2019-1914 ) потенциально может позволить аутентифицированным удаленным злоумышленникам осуществить атаку с внедрением команд.

Компания также исправила более 30 критических и опасных уязвимостей, обнаруженных в ее программном обеспечении Integrated Management Controller (IMC) и Cisco Unified Computing System (UCS). Четыре из них ( CVE-2019-1938 , CVE-2019-1974 , CVE-2019-1937 и CVE-2019-1935 ) получили оценку 9,8 балла по шкале CVSS v3.0. Их эксплуатация позволяет неавторизованным удаленным злоумышленникам осуществлять простые атаки с помощью специально сформированных вредоносных запросов, а также путем использования дефолтных учетных данных для авторизации на уязвимом устройстве.

Пользователям рекомендуется обновить программы Integrated Management Controller Supervisor до версии 2.2.1.0 и выше, UCS Director до версии 6.7.2.0 и более поздних (рекомендуется: 6.7.3.0) и UCS Director Express for Big Data до версии 3.7.2.0 и выше (рекомендуется: 3.7.3.0).