Ngày 2/10 vừa qua, Cisco đã công bố phát hành bản vá cho nhiều lỗ hổng bảo mật trên nhiều phần mềm của mình, bao gồm lỗ hổng nghiêm trọng trong Cisco Nexus Dashboard Fabric Controller (NDFC).

Lỗ hổng trên được theo dõi với mã hiệu CVE-2024-20432 (điểm CVSS 9.9) đã ảnh hưởng nghiêm trọng đến REST API và giao diện người dùng web của NDFC và có thể cho phép kẻ tấn công đã xác thực, thực thi các lệnh từ xa tùy ý trên thiết bị bị xâm phạm với quyền quản trị mạng bị đánh cắp. 

“Lỗ hổng này xuất phát từ việc hệ thống không kiểm tra đúng quyền truy cập của người dùng và quy trình xác thực không đủ chặt chẽ. Kẻ tấn công có thể lợi dụng điều này bằng cách gửi các yêu cầu đã chuẩn bị trước tới một phần của ứng dụng (REST API) hoặc qua giao diện người dùng web, từ đó thực hiện các hành động bất hợp pháp mà không cần có quyền truy cập hợp lệ”, Cisco giải thích trong thông báo của mình .

Lỗi bảo mật này đã được sửa trong phiên bản 12.2.2 của Cisco NDFC. Theo Cisco, các phiên bản NDFC từ 11.5 trở về trước và những phiên bản được cấu hình cho bộ điều khiển SAN không bị ảnh hưởng.

Ngoài ra, phiên bản 12.2.2 cũng sửa một lỗi liên quan đến xác thực đường dẫn, cho phép kẻ tấn công đã xác thực tải mã độc lên thiết bị thông qua Sao chép An toàn (SCP). Nếu khai thác thành công, điều này có thể cho phép thực thi mã tùy ý với quyền quản trị cao nhất (root).

Ngoài ra, Cisco cũng đã công bố bản vá cho nhiều sự cố bảo mật nghiêm trọng từ mức độ cao đến trung bình cho phép kẻ tấn công gây ra tình trạng từ chối dịch vụ (DoS) trong các thiết bị gateway Meraki MX và Meraki Z.

Các lỗ hổng này, gồm ba lỗi nghiêm trọng cao và ba lỗ hổng mức trung bình, ảnh hưởng đến 25 sản phẩm Meraki nếu chúng đang chạy firmware dễ bị tấn công và VPN AnyConnect đang được bật.

Các lỗ hổng mức độ nghiêm trọng cao xảy ra do các tham số do khách hàng cung cấp không được xác thực đủ khi thiết lập SSL VPN (Secure Sockets Layer Virtual Private Network), cho phép kẻ tấn công gửi các yêu cầu được tạo sẵn và khởi động lại máy chủ AnyConnect VPN, ngăn chặn việc thiết lập các kết nối SSL VPN.

Ngoài ra, việc quản lý tài nguyên không đủ khi thiết lập các phiên TLS/SSL hoặc SSL VPN, cùng với việc thiếu thông tin ngẫu nhiên (entropy) cho các trình xử lý trong quá trình tạo phiên SSL VPN, dẫn đến ba lỗ hổng mức trung bình. Những lỗ hổng này có thể cho phép kẻ tấn công ngăn chặn hoặc chấm dứt các phiên kết nối.

Phiên bản phần mềm Cisco Meraki MX 18.211.2 đã khắc phục lỗ hổng bảo mật trên. Bên cạnh đó, Cisco khuyến cáo các thiết bị đang sử dụng phiên bản phần mềm 16.2 và 17.0 trở lên nên nâng cấp lên phiên bản đã được vá lỗi.

Vào thứ Tư vừa qua, gã khổng lồ công nghệ này cũng đưa ra cảnh báo rằng các mẫu bộ định tuyến (router) RV340, RV340W, RV345 và RV345P, cùng các bộ định tuyến doanh nghiệp như RV042, RV042G, RV320 và RV325 đã ngừng sản xuất do đang bị gặp phải các lỗ hổng bảo mật nghiêm trọng dẫn đến leo thang đặc quyền, thực thi mã từ xa và các tình trạng từ chối dịch vụ (DoS).

Công ty cho biết: “Cisco chưa và sẽ không phát hành các bản cập nhật phần mềm để khắc phục các lỗ hổng này vì các sản phẩm bị ảnh hưởng đã quá thời hạn hỗ trợ bảo hành phần mềm”. 

Tuy nhiên, Cisco đã phát hành các bản cập nhật phần mềm để giải quyết các lỗi mức trung bình trong Nexus Dashboard Orchestrator, Nexus Dashboard, NDFC, Nexus Dashboard Insights, các cổng gateway Meraki MX và Meraki Z, Identity Services Engine (ISE), cũng như các thiết bị Expressway-C và Expressway-E, và các máy chủ UCS B-series, UCS Managed C-series và UCS X-series.

Cisco cho biết họ không biết liệu có lỗ hổng nào trong số này đang bị khai thác trong thực tế hay không. Tuy nhiên, đã có những trường hợp kẻ tấn công xâm nhập lợi dụng các lỗ hổng trong sản phẩm của Cisco, ngay cả khi đã có bản vá. Vì vậy, người dùng được khuyến cáo nên cập nhật phần mềm của mình càng sớm càng tốt và trong trường hợp cần thiết, nên thay thế các sản phẩm đã ngừng sản xuất bằng những sản phẩm đang được hỗ trợ bảo hành.

Nguồn: securityweek