Cisco обнаружила в программном обеспечении коммутатора Catalyst 9300 уязвимость с высоким рейтингом, которая позволяет злоумышленнику установить постоянный код во время загрузки.
Баг, подробно здесьдля эксплуатации требуются «привилегии 15-го уровня» или «неавторизованный злоумышленник с физическим доступом».
Это означает, что злоумышленник в цепочке поставок — например, скомпрометированный персонал торгового посредника — может «выполнить постоянный код во время загрузки и нарушить цепочку доверия».
«Эта уязвимость связана с ошибками, возникающими при получении открытого ключа выпуска, используемого для проверки подписи изображения», — говорится в бюллетене.
Коммутаторы уязвимы, если они работают под управлением программного обеспечения IOS XE с использованием монитора ПЗУ IOS XE более ранних версий, чем выпуск 17.3.7r, выпуск 17.6.5r или выпуск 17.8.1r.
Ошибка была одной из девяти уязвимостей с высоким рейтингом и девяти уязвимостей со средним рейтингом. раскрыто сегодняв том числе шесть, связанных с программным обеспечением IOS и IOS XE компании.
Читать полную новость на сайте