Компания Cisco сообщила о критической уязвимости командного внедрения в устройства Firepower Threat Defence (FTD). В своем предупреждении об уязвимости CVE-2023-20048, Cisco указала, что оценка уязвимости по системе общей оценки уязвимости составляет 9,9 и позволяет удаленному аутентифицированному злоумышленнику выполнить “определенные неавторизованные конфигурационные команды” в программном обеспечении центра управления целевого устройства. Команды конфигурации, отправляемые через веб-интерфейс службы, не достаточно авторизованы, пояснила компания. Cisco не раскрыла, какие команды могут быть эксплуатированы, но сказала, что они эксплуатируются с использованием “сконструированного HTTP-запроса”. Обновление центра управления является частью более крупного комплекса мер безопасности для адаптивного средства безопасности (ASA), центра управления угрозами (FMC) и программного обеспечения FTD, выпущенного сегодня. В этом объявлении рассматривается общее число 27 уязвимостей, описанных в 22 предупреждениях. Помимо уязвимости CVE-2023-20048, есть еще восемь уязвимостей с высоким уровнем угрозы. Пять из них – уязвимости отказа в обслуживании: CVE-2023-20086, в которой сообщение IPv6 ICMP может принудить перезагрузку устройства; CVE-2023-20095 в программном обеспечении VPN ASA и FTD, атакуемое с использованием сконструированных HTTPS-запросов; CVE-2023-20244, уязвимость в инспекции пакетов в межсетевых экранах Firepower 2100; CVE-2023-20083, еще одна уязвимость IPv6 ICMP, на этот раз в FTD при конфигурации с Snort 2, и CVE-2023-20155, недостаток ограничения скорости в FMC API, который может быть эксплуатирован путем отправки высокой частоты HTTP-запросов. Также существуют две уязвимости внедрения кода: CVE-2023-20063 в устройствах FTD с установленным FMC, позволяющих локальным злоумышленникам запускать код с правами root, и CVE-2023-20220, пара уязвимостей внедрения команд в FMC.
Читать полную новость на сайте
