
Компания Cisco выпустила исправления для продуктов, подверженных уязвимости с удаленным доступом введения команды рванины.
Уязвимость была учитывая общие риски и уязвимости Индекс уязвимости CVE-2019-1649, и был обнаружен путем исследователи в области безопасности красный шар.
Это влияет на Linux на основе операционной системы Cisco IOS в Хе версии 16.X, и позволяет удаленным введения команд с привилегиями суперпользователя суперпользователя через веб-интерфейс пользователя в программном обеспечении.
Злоумышленник должен быть идентифицирован как администратора на целевой системе, однако, чтобы воспользоваться уязвимостью.
Эта уязвимость вызвана неправильной обработкой пользовательского ввода, позволяя злоумышленникам поставить специально созданный параметр в веб-форме.
Красный шарик будет сообщено Циско выше уязвимость в ноябре прошлого года, и говорит, что это могут быть соединены с еще один недостаток аппаратного обеспечения, в комбо атаки, которые он вызывает Thrangrycat (обозначается тремя сердитый кот эмодзи).
Thrangrycat целей компании Cisco доверия проприетарного аппаратного модуля безопасности в большом количестве маршрутизаторов компании предприятия, коммутаторы и межсетевые экраны.
Красный шар обнаружил, что это можно сделать постоянные изменения в модуль якоря доверия, путем манипулирования программируемой пользователем вентильной матрице (FPGA) битового потока.
Это подрывает процесс безопасной загрузки для устройств, красный шар сказал, и обесценивает сеть Cisco в доверие на корню.
Компания Cisco признала дефект и сказал, что злоумышленник с повышенными правами и доступом к операционной системе на соответствующих устройствах может воспользоваться ею для записи измененной прошивки изображение на ПЛИС.
Это, в свою очередь, могут позволить злоумышленникам получить или оказать уязвимых устройств в негодность, требуя полной замены оборудования, или обойти процесс проверки безопасной загрузки в установке и загрузки вредоносных программ, сказал Циско.
Хотя в настоящее время нет решения для дефектоскопа, компания Cisco заявила, что будет выпускать обновления программного обеспечения.
Однако, красный шар говорит, что, поскольку недостатки в конструкции оборудования, “вряд ли какой-то патч безопасности программного обеспечения позволит полностью решить фундаментальные уязвимости”.