اصلاحیه های امنیتی سیسکو – اکتبر 2021

شرکت سیسکو در هفته گذشته وصله‌های امنیتی خود برای آسیب‌پذیری‌های متعدد با شدت بالا منتشر کرد. این آسیب‌پذیری‌ها بر روی ابزار‌های امنیت وب (WSA)، ابزار‌های مجازی زیرساخت ابری Intersight، سوئیچ‌های ۲۲۰ مختص سازمان‌های کوچک و دیگر محصولات این شرکت تأثیر می‌گذارند.

سوء استفاده موفق از این آسیب‌پذیری‌ها به مهاجمان امکان شرایطی برای حملات منع سرویس (DoS)، اجرای کد‌های دلخواه از راه دور با دسترسی root و یا افزایش سطح امتیاز می‌بخشد.

آسیب‌پذیری‌های برطرف شده

• دو نمونه از حیاتی‌ترین آسیب‌پذیری‌های این دوره با درجه خطر بالا، CVE-2021-34779 و CVE-2021-34780 هستند که در پروتکل اکتشاف لایه اتصال یا LLDP در سری سوئیچ‌های ۲۲۰ مورد استفاده در سازمان‌های کوچک یافت شده است که منجر به اجرای کد‌های دلخواه و همچنین حملات منع سرویس می‌شود. نسخه به روزرسانی نرم‌افزار که برای سری سوئیچ‌های سازمانی منتشر شده است، چهار نقص امنیتی با شدت متوسط را نیز مرتفع می‌کند که می‌توانند منجر به تخریب حافظه LLDP شده و بر دستگاه تأثیر بگذارد. 
• دیگر آسیب‌پذیری خطرناک، مرتبط با اعتبارسنجی ناکافی داده ورودی (insufficient input validation) در ابزار مجازی Intersight می‌باشد. این آسیب‌پذیری با شناسه CVE-2021-34748 شناخته شده و می‌تواند منجر به اجرای دستورات دلخواه با امتیازات root شود. 
• همچنین، دو آسیب‌پذیری شدید در سری ATA 190 و نرم افزار چند پلتفرمی سری ATA 190 (MPP) برطرف شده است. این آسیب‌پذیری‌ها به ترتیب CVE-2021-34710 و CVE-2021-34735 می‌باشند که به عامل تهدید اجازه اجرای کد‌های دلخواه و حملات منع سرویس می‌دهند.
• علاوه بر این، نقص مدیریت نامناسب حافظه (improper memory management flaw) در AsyncOS برای ابزار‌های امنیت وب مرتفع شده است که می‌تواند منجر به حملات منع سرویس شوند.
• آسیب‌پذیری دیگری که سیسکو به آن اشاره کرده است، CVE-2021-1594 می‌باشد و در موتور خدمات تشخیص هویت سیسکو ( Identity Services Engine) یافت شده است.
• در انتها نیز وصله‌های امنیتی دیگری برای نقایص با درجه خطر متوسط ارائه شده است که بر TelePresence CE، RoomOS، Smart Software Manager On-Prem، سوئیچ‌های تجاری سری ۲۲۰، موتور خدمات تشخیص هویت، نرم‌افزار آی پی تلفن، ابزار‌های امنیت‌ ایمیلی (ESA)، مرکز DNA و محصول Orbital تأثیر می‌گذارد.