Phát Hiện Lỗ Hổng Trên Phần Mềm Của Cisco

12 Tháng Ba 20181:44 SA(Xem: 476)
Phát Hiện Lỗ Hổng Trên Phần Mềm Của Cisco
Phát Hiện Lỗ Hổng Trên Phần Mềm Của Cisco

Khoảng giữa tháng 03/2018, lỗ hổng có mã định danh CVE-2018-0141 xuất phát từ một mật mã mặc định có trong Secure Shell, cho phép tin tặc có thể truy cập bất cứ máy chủ Linux nào sử dụng phần mềm Cisco Prime Collaboration Provisioning và chiếm được quyền điều khiển máy chủ.

Ứng dụng Cisco Prime Collaboration Provisioning cho phép người quản trị truy cập từ xa để cài đặt và quản lý các thiết bị Cisco, như thiết bị điện thoại IP, video, voicemail... trong công ty hoặc doanh nghiệp lớn.

 

Theo Cisco, lỗ hổng cho phép tin tặc có thể nâng quyền từ người dùng bình thường lên quyền root và chiếm toàn bộ điều khiển của thiết bị. Dù lỗ hổng chỉ có điểm Common Vulnerability Scoring System CVSS là 5.9 trong thang điểm 10, nhưng Cisco đánh giá lỗ hổng là nghiêm trọng. Cisco đã phát hiện ra lỗ hổng trong quá trình kiểm tra bảo mật nội bộ, và cho biết lỗ hổng chỉ ảnh hưởng đến phần mềm PCP phiên bản 11.6, phát hành tháng 11/2016. Trong quá trình cập nhật bản vá bảo mật định kỳ, Cisco đã phát hành phiên bản 12.1 để vá lỗ hổng.

 

Ngoài mật mã mặc định, Cisco cũng phát hiện ra một lỗ hổng nghiêm trọng khác ảnh hưởng đến tính năng Secure Access Control System – một sản phẩm sử dụng để xác thực, tạo tài khoản và phân quyền trong quản lý hệ thống thiết bị. Theo đó, lỗ hổng Cisco Secure ACS (CVE-2018-0147) cho phép tin tặc thực thi mã độc từ xa trên thiết bị có lỗ hổng với quyền root mà không cần bất kỳ thông tin xác thực nào. Lỗ hổng có điểm CVSS là 9.8 trên thang điểm 10. Nó tác động tới tất cả phiên bản Cisco Secure Access ACS thấp hơn phiên bản 5.8 patch 9.

 

Tuy nhiên, để khai thác lỗ hổng trên phiên bản 5.8 patch 7 hoặc patch 8 yêu cầu kẻ tấn công phải xác thực trước khi khai thác. Cisco đã nhanh chóng vá lỗ hổng trên Cisco Secure ACS 5.8.0.32.9 trở lên. Người dùng các sản phẩm của Cisco cần phải rà soát lại toàn bộ hệ thống để đảm bảo không có vấn đề bảo mật xảy ra, và cập nhật các bản vá bảo mật mới nhất từ nhà sản xuất.

50Vote
40Vote
30Vote
20Vote
10Vote
00
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
24 Tháng Sáu 2018
Khoảng giữa tháng 06/2018, theo một báo cáo mới của Bloomberg New Energy Finance về những thay đổi trong sản xuất điện đến năm 2050, thế giới sẽ sản sinh gần 50% điện năng từ những nguồn năng lượng có thể tái tạo. Cùng với sự tăng lên của điện năng từ năng lượng tái tạo là sự sụt giảm của than đá, khi loại nguyên liệu truyền thống sẽ chỉ chiếm khoảng 11% trong tổng số các nguồn điện năng trên thế giới.
24 Tháng Sáu 2018
Brian Krzanich sẽ rút lui khỏi cả hai chức vụ, vị trí CEO và Hội đồng Quản trị của công ty đã được ông đảm nhiệm trong suốt nửa thập kỷ sau khi được chỉ định vào chức vụ.
24 Tháng Sáu 2018
Algeria không muốn lặp lại những gì đã diễn ra trong năm 2016. Thời điểm đó, đề thi và cả đáp án đã bị rò rỉ trên Internet cả trước và trong khi kỳ thi diễn ra.
22 Tháng Sáu 2018
Khoảng giữa tháng 06/2018, Walt Disney đã nâng mức giá mua lại mảng giải trí của 21st Century Fox Inc. với giá 71 tỷ USD, vượt qua mức giá mà Comcast đưa ra trước đó. Với 71 tỷ USD, đây rõ ràng sẽ là một trong những thương vụ lớn nhất trong ngành truyền thông, đa phương tiện.
22 Tháng Sáu 2018
Khoảng giữa tháng 06/2018, theo trang TechCrunch đưa tin, nghiên cứu về hệ thống thực tế ảo mới có tên là “Soccer On Your Tabletop”, đã được trình diễn tại Hội nghị Computer Vision and Pattern Recognition tại Salt Lake City, Mỹ. Công nghệ thực tế ảo mới là sản phẩm hợp tác giữa Facebook, Google và Đại học Washington.
21 Tháng Sáu 2018
Adode là thương hiệu nổi tiếng giới phần mềm chỉnh sửa video và đồ họa với những cái tên tiêu biểu như Adobe photoshop, Adobe After Effects, Adobe Primiere Pro…Khoảng giữa tháng 06/2018, Adode tiếp tục giới thiệu Project Rush.