Компания Cisco патчи iOS удаленной командной Хе уязвимости

Компания Cisco выпустила исправления для продуктов, подверженных уязвимости с удаленным доступом введения команды рванины.

Уязвимость была учитывая общие риски и уязвимости Индекс уязвимости CVE-2019-1649, и был обнаружен путем исследователи в области безопасности красный шар.

Это влияет на Linux на основе операционной системы Cisco IOS в Хе версии 16.X, и позволяет удаленным введения команд с привилегиями суперпользователя суперпользователя через веб-интерфейс пользователя в программном обеспечении.

Злоумышленник должен быть идентифицирован как администратора на целевой системе, однако, чтобы воспользоваться уязвимостью.

Эта уязвимость вызвана неправильной обработкой пользовательского ввода, позволяя злоумышленникам поставить специально созданный параметр в веб-форме.

Красный шарик будет сообщено Циско выше уязвимость в ноябре прошлого года, и говорит, что это могут быть соединены с еще один недостаток аппаратного обеспечения, в комбо атаки, которые он вызывает Thrangrycat (обозначается тремя сердитый кот эмодзи).

Thrangrycat целей компании Cisco доверия проприетарного аппаратного модуля безопасности в большом количестве маршрутизаторов компании предприятия, коммутаторы и межсетевые экраны.

Красный шар обнаружил, что это можно сделать постоянные изменения в модуль якоря доверия, путем манипулирования программируемой пользователем вентильной матрице (FPGA) битового потока.

Это подрывает процесс безопасной загрузки для устройств, красный шар сказал, и обесценивает сеть Cisco в доверие на корню.

Компания Cisco признала дефект и сказал, что злоумышленник с повышенными правами и доступом к операционной системе на соответствующих устройствах может воспользоваться ею для записи измененной прошивки изображение на ПЛИС.

Это, в свою очередь, могут позволить злоумышленникам получить или оказать уязвимых устройств в негодность, требуя полной замены оборудования, или обойти процесс проверки безопасной загрузки в установке и загрузки вредоносных программ, сказал Циско.

Хотя в настоящее время нет решения для дефектоскопа, компания Cisco заявила, что будет выпускать обновления программного обеспечения.

Однако, красный шар говорит, что, поскольку недостатки в конструкции оборудования, “вряд ли какой-то патч безопасности программного обеспечения позволит полностью решить фундаментальные уязвимости”.