آسیبپذیری بحرانی RCE در تجهیزات سیسکو و اجازه اجرای کد دلخواه به مهاجم
آسیبپذیریهای متعدد امنیتی در سیسکو بر روی نرمافزارهای Cisco FXOS، Cisco NX-OS و Cisco UCS Manager به یکی از دلایل عدم تأییداعتبار ورودی، ارسال آرگومانهای ساختگی به یکسری دستورات خاص توسط مهاجم و یا امکان ایجاد سرریز بافر، به مهاجم امکان اجرای کد دلخواه با مجوزهای دسترسی کاربر فعلی سیستم را میدهد. اخیراً چندین آسیبپذیری امنیتی مهم و بحرانی در تجهیزات سیسکو کشف شده است که به مهاجمین اجازه میدهد دستورات دلخواه را با همان دسترسی کاربر مجاز اجرا کنند. این آسیبپذیری بر روی نرمافزار Cisco FXOS، نرمافزار Cisco NX-OS و نرمافزار Cisco UCS Manager تأثیر میگذارد. Cisco FXOS و UCS Manager – CLI آسیبپذیری در CLI نرمافزار Cisco FXOS و نرمافزار Cisco UCS Manager Cisco به یک مهاجم احرازهویتشدهی محلی اجازه میدهد تا دستورات دلخواه را بر روی دستگاه کاربر اجرا کند. این آسیبپذیری که به دلیل عدم تأییداعتبار ورودی است، با بهرهبرداری موفقیتآمیز به مهاجم اجازه میدهد تا دستورات دلخواه را در سیستم عامل اصلی با سطح مجوزهای دسترسی حالحاضر کاربر، اجرا کند. سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است. Cisco FXOS و UCS Manager Software CLI این آسیبپذیری در CLI نرمافزار Cisco FXOS و نرمافزار Cisco UCS Manager وجود دارد که به یک مهاجم احرازهویتشدهی محلی اجازه میدهد دستورات دلخواه را اجرا کند. یک مهاجم میتواند با ارسال آرگومانهای ساختگی به یکسری دستورات خاص، از این آسیبپذیری بهرهبرداری کند که اگر این فرآیند موفقیتآمیز باشد به مهاجم این امکان را میدهد تا دستورات دلخواهی را در سیستمعامل اصلی با مجوزهای کاربر فعلی، اجرا کند. سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است. Cisco FXOS و NX-OS نرمافزار - اجرای کد دلخواه این آسیبپذیری به مهاجمی که احزارهویت نشدهاست اجازه میدهد تا کد دلخواه را با سطح دسترسی روت اجرا کند یا باعث شرایط منع از سرویس(DoS) شود. بررسی این آسیبپذیری نشان میدهد که یک بهرهبرداری موفقیتآمیز، مهاجم را قادر به ایجاد سرریز بافر میکند و این امر به او اجازه میدهد کد دلخواه را با سطح دسترسی روت اجرا کند و یا باعث ایجاد شرایط DoS در دستگاه آسیبدیده شود. سیسکو بهروزرسانیهای امنیتی را برای اعلام این آسیبپذیری نیز بهعنوان بخشی از مشاورهی امنیت نرمافزاری NX-OS در فوریه 2020، منتشر کرده است. گردآوری: آزین زارعی