انتشار توصیه‌نامه‌ی امنیتی سیسکو

موسسه خبری سایبربان: سیسکو دست به انتشار سه توصیه‌نامه‌ی امنیتی زده تا به آسیب‌پذیری‌های مختلف چندین محصول خود رسیدگی نماید. این آسیب‌پذیری‌ها ممکن است به مهاجم دارای دسترسی از راه دور اجازه دهند کدهای دلخواه خود را اجرا نماید، با امتیازهای تشدیدشده به فعالیت بپردازد، و یا وضعیت انسداد سرویس را پدید بیاورد.

آسیب‌پذیری‌های مورد نظر به این شرح می‌باشند:

شکاف اجرای از راه دور کد در WAAS Mobile سیسکو

Wide Area Application Services Mobile شامل یک آسیب‌پذیری است که به مهاجم دارای دسترسی از راه دور که احراز هویت نشده اجازه می‌دهد با امتیازهای کارگزار وب IIS مایکروسافت، کدهای دلخواه خود را در کارگزار WAAS Mobile سیسکو اجرا نماید.

شکاف بازنشانی گذرواژه در TelePresence VX Clinical Assistant سیسکو

آسیب‌پذیری موجود در مؤلفه‌ی WIL-A از TelePresence VX Clinical Assistant می‌تواند به مهاجم دارای دسترسی از راه دور اجازه دهد به کمک یک گذرواژه‌ی خالی در پوشش مدیر وارد سامانه شود.

این آسیب‌پذیری از یک خطای برنامه‌نویسی ناشی شده که با هر بار راه‌اندازی مجدد سامانه گذرواژه‌ی کاربر مدیر را به یک گذرواژه‌ی خالی تغییر می‌دهد.

مهاجم می‌تواند با به‌کارگیری یک گذرواژه‌ی خالی و ورود به رابط مدیریتی از این شرایط سوءاستفاده نماید.

شکاف انسداد سرویس Session Initiation Protocol نرم‌افزار IOS سیسکو

آسیب‌پذیری موجود در پیاده‌سازی Session Initiation Protocol یا به اختصار SIP به مهاجم دارای دسترسی از راه دور که مورد تأیید سامانه قرار نگرفته باشد امکان می‌دهد موجبات بارگذاری مجدد دستگاه آسیب‌دیده و یا نشت حافظه را فراهم کند که این موضوع می‌تواند باعث ناپایداری سامانه شود. برای سوءاستفاده از این آسیب‌پذیری می‌بایست دستگاه آسیب‌دیده را به نحوی پیکربندی کرد تا پیام‌های SIP را پردازش کند.