Riasztás Cisco termékeket érintő sérülékenységekről

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) riasztást ad ki a Cisco IOS XE szoftvereket érintő kritikus, illetve magas kockázati besorolású sérülékenységek kapcsán, azok súlyossága, kihasználhatósága és a szoftverek széleskörű elterjedtsége miatt.

A sérülékenységek között kettő nulladik napi (zero-day) sebezhetőség található:

  • CVE-2023-20198  Nem megfelelő jogosultságkezelés: A termék nem megfelelően osztja ki, módosítja, követi vagy ellenőrzi a felhasználói fiókokhoz tartozó jogosultságokat.
  • CVE-2023-20273  A sérülékenység a rendszerhez történő hozzáférés esetén ─ például a korábban publkált CVE-2023-20198 sebezhetőség kihasználásával ─ lehetőséget ad jogosultság-kiterjesztésre, root felhasználói fiók létrehozásával.

Érintett termékek és szerepkörök:

Cisco IOS XE 17.9

17.6

17.3

16.12 (csak a Catalyst 3650 és 3850)

                                                                                                                                        

Hibajavítást tartalmazó verziók:

Cisco IOS XE 17.9a

17.6a

17.3a

16.12a

 

2023.10.24-én csak a 17.9a elérhető, a frissítés állapota a gyártói biztonsági közleményben, itt követhető.

Javaslatok

  • Az NBSZ NKI a biztonsági frissítések haladéktalan telepítését javasolja, amelyek elérhetőek az automatikus frissítéssel, valamint manuálisan is letölthetők a gyártói honlapokról.
  • A gyártói közlemény alapján javasolt a Cisco termékek sebezhetőségeivel összefüggésbe hozható indikátorok alapján kiterjedt vizsgálatot folytatni az esetleges kompromittáltság felderítéséhez.
  • A támadási felület csökkentése érdekében a http kiszolgáló funkció letiltása az internetkapcsolattal rendelkező rendszereken.

 Hivatkozások:

Letöltés:


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
CVE-2025-35939 – Craft CMS External Control of Assumed-Immutable Web Parameter sérülékenysége
CVE-2025-3935 – ConnectWise ScreenConnect Improper Authentication sérülékenysége
CVE-2021-32030 – ASUS Routers Improper Authentication sérülékenysége
CVE-2025-33072 – Microsoft msagsfeedback.azurewebsites.net Information Disclosure sebezhetősége
Tovább a sérülékenységekhez »