Новости и события » Hi-Tech » Уязвимость в Cisco IOS XE позволяет проникнуть в сети через вредоносную рекламу

Уязвимость в Cisco IOS XE позволяет проникнуть в сети через вредоносную рекламу

Уязвимость в Cisco IOS XE позволяет проникнуть в сети через вредоносную рекламу

Компания Cisco исправила в пользовательском web-интерфейсе своего продукта IOS XE опасную уязвимость, позволяющую посторонним проникать во внутренние сети без авторизации. Уязвимость межсайтовой подделки запросов (CSRF) получила идентификатор CVE-2019-1904.

Cisco IOS XE - это сетевая операционная система на базе ядра Linux, использующаяся на различных маршрутизаторах корпоративного уровня и коммутаторах Cisco Catalyst. Версии IOS, IOS XR и NX-OS уязвимости не подвержены.

Причиной проблемы является недостаточная защита web-интерфейса от CSRF. Злоумышленник может воспользоваться ею, заставив пользователя пройти по вредоносной ссылке (к примеру, эксплоит можно спрятать в вредоносной рекламе). Поскольку уязвимость можно проэксплуатировать совершенно незаметно, она является весьма привлекательным инструментом для киберпреступников.

Успешная эксплуатация уязвимости позволяет злоумышленнику выполнять любые действия с теми же правами, что есть у атакуемого пользователя. «Если у пользователя есть права администратора, атакующий может менять конфигурацию, выполнять команды или перезагружать затронутое устройство», - пояснили специалисты Cisco.

Единственный способ исправить уязвимость - установить последние обновления (доступны только для пользователей с действительной лицензией). PoC-эксплоит для уязвимости уже существует, однако никаких свидетельств ее эксплуатации в реальных атаках обнаружено не было.


Свежие новости Украины на сегодня и последние события в мире экономики и политики, культуры и спорта, технологий, здоровья, происшествий, авто и мото

Вверх