به گزارش خبرگزاری مهر به نقل از مرکز ماهر، ‫سیسکو به‌روزرسانی‌ امنیتی جهت رفع ۱۷ آسیب‌پذیری‌ با شدت «بالا» و «بحرانی» در چندین محصول خود منتشر ساخته است.

یک مهاجم راه‌دور می‌تواند با سوءاستفاده از برخی از این آسیب‌پذیری‌ها، کنترل کامل سیستم را در دست گیرد. این آسیب‌پذیری‌ها برخی از محصولات سیستم محاسباتی یکپارچه‌ (UCS) این شرکت، از جمله کنترل‌کننده‌ مدیریت یکپارچه (IMC)، UCS Director و UCS Director Express برای داده‌های بزرگ را تحت‌تأثیر قرار می‌دهند.

بسیاری از این آسیب‌پذیری‌ها، کنترل‌کننده‌ مدیریت یکپارچه (IMC) که یک کنترل‌کننده‌ مدیریت مبتنی بر برد است را تحت‌تأثیر قرار می‌دهند. این کنترل‌کننده، مدیریت کارگزار تعبیه‌شده‌ای را برای کارگزارهای سیستم محاسباتی یکپارچه‌ سیسکو فراهم می‌آورد.

اکثر این آسیب‌پذیری‌ها توسط خود سیسکو یافت شده‌اند؛ اما برخی از آن‌ها توسط محققی به نام Perdro Ribeiro گزارش شده‌اند.

Ribeiro جزئیات مربوط به سه آسیب‌پذیری از نقص‌های موجود در محصولات سیسکو را به همراه ماژول‌های Metasploit جهت سوءاستفاده از آن‌ها منتشر کرده است.

یکی از این نقص‌ها، آسیب‌پذیری با شناسه‌ CVE-۲۰۱۹-۱۹۳۵ است که از نظر شدت «بحرانی» رتبه‌بندی شده است و به یک مهاجم راه دور اجازه می‌دهد با استفاده از حساب کاربری SCP (scpuser) که دارای اعتبارنامه‌های پیش‌فرض است، به واسط خط فرمان (CLI) یک سیستم آسیب‌پذیر وارد شود.

کاربر SCP برای تشخیص و پشتیبانی از تکنیک‌ها طراحی شده است و به طور معمول نباید به GUI یا مدیر پوسته (shelladmin) دسترسی پیدا کند. اما Ribeiro دریافت که این کاربر می‌تواند از طریق SSH دارای گذرواژه‌ پیش‌فرض، در صورتی که توسط مدیر سیستم تغییر نیافته باشد، وارد سیستم شود.

نقص دیگری که توسط Ribeiro شناسایی شده است، آسیب‌پذیری با شناسه‌ CVE-۲۰۱۹-۱۹۳۶ است. این آسیب‌پذیری از نظر شدت، «بالا» رتبه‌بندی شده است و به یک مهاجم احرازهویت‌نشده اجازه می‌دهد دستورات دلخواه در پوسته‌ زیرین Linux را با مجوزهای ریشه‌ای، اجرا کند.

این آسیب‌پذیری برای اینکه مورد سوءاستفاده قرار گیرد نیاز به کاربر احرازهویت‌شده دارد. دورزدن احرازهویت نیاز به سوءاستفاده از آسیب‌پذیری بحرانی دیگری دارد. این آسیب‌پذیری دارای شناسه‌ CVE-۲۰۱۹-۱۹۳۷ است و به مهاجم راه‌دور و احرازهویت‌نشده اجازه می‌دهد تا با دسترسی به یک نشانه‌ (token) نشست معتبر با امتیازات مدیریتی، احرازهویت را دور بزند. یک مهاجم می‌تواند با ارسال یک سری درخواست‌های مخرب به دستگاه هدف، به این نشانه دست یابد.

به گفته‌ Ribeiro، آسیب‌پذیری‌های CVE-۲۰۱۹-۱۹۳۶ و CVE-۲۰۱۹-۱۹۳۷ می‌توانند توسط یک مهاجم راه‌دور و بدون امتیاز در سیستم هدف، زنجیر شوند تا کدی را به عنوان ریشه اجرا کنند و کنترل کامل محصول متأثر را در دست گیرند.

Ribeiro دو ماژول metasploit نیز منتشر ساخته است. یک ماژول که از دورزدن و تزریق دستور و دیگری که از گذرواژه‌ پیش‌فرض SSH سوءاستفاده می‌کند.

کد خبر 4716078 معصومه بخشی پور

منبع: مهر

مطالب پیشنهادی:

جلسه ترامپ درباره «حمله نظامی» علیه ایران با حضور مقامات پنتاگون| گزینه محتمل آمریکا برای دفاع از عربستان چیست؟

عکس| تاج گل لاکچری رئیس صداوسیما و سفیر چین برای مراسم ترحیم اسدالله عسگراولادی

لحظه درگیری میلاد عبادی‌پور با بازیکن والیبال کره جنوبی + فیلم

کلیدواژه: مرکز ماهر امنیت اطلاعات تهدیدات سایبری نوآوری معاونت علمی و فناوری ریاست جمهوری فناوری نانو فناوری فضایی شرکت دانش بنیان امنیت اطلاعات موبایل گوگل تحقیقات علمی هوشمندسازی ماهواره فناوری 5G صندوق نوآوری و شکوفایی هوش مصنوعی

منبع این خبر، وبسایت www.mehrnews.com است و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه این خبر را شایسته تذکر می‌دانید، خواهشمند است کد ۲۵۰۷۷۶۳۷ را به همراه موضوع به آدرس info@porsyar.com ارسال فرمایید.
با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع مطلب و کاربران است.
خبر بعدی:

استعفای معاون کنترل تسلیحات و امنیت ملی آمریکا

به گزارش ایلنا به نقل از پایگاه اینترنتی مجله دیفنس نیوز، «آندره‌آ تامپسون»، مسئول کنترل تسلیحات و فروش سلاح به کشورهای خارجی در وزارت خارجه آمریکا، از سمت خود در دولت استعفا داد. 

«مایک پمپئو» وزیر خارجه آمریکا، طی بیانیه‌ای معاون کنترل تسلیحات و امنیت ملی آمریکا را «خدمتگذاری متعهد خواند که از ۲۵ سال تجربه نظامی خود در وزارت خارجه بهره برد».

پمپئو گفت: «جای دانش، تجربه نظامی و مهارت‌های رهبری او در وزارت خارجه خالی خواهد بود. از او به‌خاطر تعهدش به ماموریت وزارت خارجه و دهه‌ها خدمت به آمریکا تشکر می‌کنم. امیدوارم در فعالیت‌های آینده‌اش موفق باشد».

 

دیگر خبرها

  • جاده‌های منتهی به شلمچه و چذابه برای تردد زائران اربعین مشکل دارند/دستگاه‌های اجرایی درپی برطرف کردن مشکلات هستند
  • نباید یک ریال از اعتبارات چهارمحال و بختیاری برگشت بخورد
  • نقاط ضعف حوزه مدیریت حوادث را برطرف کنیم
  • کنترل موثرتر دیابت با داروی جدید ترکیبی
  • سیستم کنترل ناوگان حمل‌ونقل (FMS)
  • مهاجرت پذیری البرز با فرصت ها و آسیب‌ها همراه است
  • اصفهان| ذوب‌آهن و صنعت نفت آبادان؛ اصفهانی‌ها در حسرت برد
  • کاوش باستان‌شناسی مسجد جامع عتیق اردبیل؛ خلاء تحقیقات پیشین برطرف شد+تصاویر
  • رسمی؛ کلودیو کشرو، مهاجم لودوگورتس به عنوان بهترین بازیکن هفته اول لیگ اروپا در فصل 2019/20 انتخاب شد
  • مهاجری: خداراشکر که مثل بازی قبل تنبیه نشدیم/ ضعف‌هایمان را برطرف می‌کنیم
  • مهاجم پرسپولیس در دربی گلزنی می‌کند؟
  • حمله موشکی انصارالله به «آرامکو» آسیب‌پذیری دشمنان را نشان داد
  • مسائل و مشکلات حقوقی مردم برطرف شود
  • استخدام کارشناس کنترل تولید و موجودی ها و انبار در تهران
  • اردبیل| مشکلات فرهنگی جامعه ریشه در مشکلات اقتصادی و معیشتی دارد
  • اهواز| مشکلات کمربندی بستان و مسیر نفت به سمت موکب‌های چذابه برطرف شود
  • مهاجم استقلال دربی را از دست داد
  • مهاجم جنجالی در آزمایش‌های پزشکی زنیت/ کوکورین ذخیره آزمون می‌شود
  • ارلینگ هالند، مهاجم آینده‌دار سالزبورگ در رادار بارسلونا