Cisco предупреждает о критической уязвимости, не исправленной в веб-интерфейсе функции своего программного обеспечения Internetwork Operating System (IOS) XE, которая активно эксплуатируется. Уязвимость затрагивает физические и виртуальные службы предприятий, выполняющие запущенную IOS XE и включающие функцию сервера HTTP или HTTPS, согласно угрозовому предупреждению Cisco Talos. Ей дана ссылка CVE-2023-20198, и она получила оценку в рамках Общей системы оценки уязвимости (CVSS) 10. Уязвимость “позволяет удаленному неавторизованному злоумышленнику создать аккаунт на системе с привилегией 15 уровня доступа”, – сообщил производитель в отдельном предупреждении. Злоумышленник может затем использовать этот аккаунт для получения контроля над системой. Привилегия 15 является самой высокой из 16 уровней привилегированного доступа в IOS, предоставляя “полный административный доступ”. Веб-интерфейс описывается как встроенное графическое средство управления системой, используемое для предоставления услуг, развертывания систем и управляемости и опыта пользователя. Cisco призвал администраторов проверить журналы своей системы на наличие конкретных сообщений, описанных в своем угрозовом предупреждении. Он отметил, что на данный момент нет обходных решений и что будет связываться с клиентами “при доступности программного исправления”. В промежутке производитель “настоятельно рекомендует” клиентам “отключить функцию HTTP-сервера на всех системах, доступных из Интернета”. “Рекомендация, которую Cisco предоставила в своем сообщении о безопасности, чтобы отключить функцию HTTP-сервера на системах, доступных из Интернета, соответствует не только bewt-практикам, но и рекомендациям, которые правительство США ранее давало по снижению риска, связанного с общедоступными интерфейсами управления через Интернет”, – пишет Cisco Talos. “Это критическая уязвимость, и мы настоятельно рекомендуем затронутым субъектам немедленно выполнить рекомендации, изложенные в сообщении Cisco…”. Cisco Talos отмечает, что уязвимость впервые была замечена в среде одного клиента в середине и в конце сентября, когда клиент обратился за помощью. Производитель также отмечает аналогичные случаи в других средах в этом месяце, которые, по мнению Talos, “вероятно, основаны на сентябрьской деятельности” и, скорее всего, были проведены “одним и тем же лицом”.
Оригинальная новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/2T7D6XTWUBPIDLMIAVGIYXGEN4.jpg "Белый дом планирует представить указ об искусственном интеллекте в понедельник, сообщают источники.")
/cloudfront-us-east-2.images.arcpublishing.com/reuters/ZW2OMDYF3NOMLG6M2FLYG74DBA.jpg "Cryptoverse: инвесторы выбирают своих скаковых лошадей с искусственным интеллектом")
