شرکت فناوری سیسکو به مشتریان خود اطلاع داد که ۱۷ آسیبپذیری بحرانی و با شدت بالا را که برخی از محصولات محاسباتی یکپارچهی آن را تحت تأثیر قرار داده بودند، وصله کرده است. اکثر این آسیبپذیریها، كنترلکنندهی یکپارچهی مدیریت (IMC) را که قابلیتهای مدیریتی تعبیهشده در سرور را برای سرورهای سیستم محاسباتی یکپارچهی سیسکو (UCS) فراهم میکند، تحت تأثیر قرار میدهند.
علاوهبراین، پنج مورد از حفرههای امنیتی محصولات UCS Director و UCS Director Express برای کلان دادهها (Big Data) و یک آسیبپذیری نیز تنها محصولات UCS Director و UCS Director Express برای کلان دادهها (Big Data) را تحت تأثیر قرار میدهد.
این آسیبپذیریهای بحرانی با شناسههای CVE-2019-1937،CVE-2019-1974 ، CVE-2019-1935 و CVE-2019-1938 ردیابی میشوند.
این نقصهای امنیتی میتوانند توسط مهاجمان تأییدنشدهی راه دور با هدف ارتقاء امتیازات، از جمله کسب مجوزهای مدیریتی بر روی سیستم هدف مورد بهرهبرداری قرار بگیرند. بهرهبرداری از این آسیبپذیریها شامل ارسال درخواستهای خاص طراحیشده و سوءاستفاده از گواهینامههای پیشفرض است.
از سوی دیگر، برای بهرهبرداری از اکثر نقصهای امنیتی با شدت بالا نیز به تأیید اعتبار نیاز است، اما برخی از آنها بدون نیاز به احراز هویت نیز میتوانند مورد بهرهبرداری قرار بگیرند. این آسیبپذیریها میتوانند برای ایجاد شرایط منع سرویس (DoS)، اجرای دستورات دلخواه با امتیازات ریشهای، ایجاد تغییرات غیرمجاز در پیکربندی سیستم و همچنین، دسترسی به دادههای حساس پیکربندی و ارتقاء امتیازات مورد بهرهبرداری قرار بگیرند.
بسیاری از آسیبپذیریهای مذکور که در هفتهی جاری وصله شدند، توسط خود سیسکو و در جریان تست امنیت داخلی و حل و فصل موارد پشتیبانی کشف شده بودند، اما برخی از آنها توسط پدرو ریبیرو (Pedro Ribeiro)، محققی که از نام آنلاین bashis استفاده کرده و همچنین، محققی که میخواست ناشناس باقی بماند، کشف شدهاند. سه مورد از چهار آسیبپذیری بحرانی نیز توسط محققان خارجی شناسایی شدهاند.
به گفتهی شرکت سیسکو، هیچ مدرکی مبنیبر بهرهبرداری از آسیبپذیریهای موجود در محصولات UCS و IMC برای اهداف مخرب وجود ندارد. این غول شبکه همچنین با بهروزرسانی دو مشاورهنامهی امنیتی که پیش از این منتشر شده بودند، به مشتریان خود اطلاع داد که از کد بهرهبرداری عمومی دو آسیبپذیری موجود در سوئیچهای هوشمند سری Small Business 220 آگاه شده است.