思科周三推出了补丁,以解决影响其产品的三个安全漏洞,其中包括上月底在 NVIDIA 数据平面开发套件 (MLNX_DPDK) 中披露的一个高严重性漏洞。
跟踪为CVE-2022-28199(CVSS 评分:8.6),该漏洞源于 DPDK 的网络堆栈中缺乏适当的错误处理,使远程攻击者能够触发拒绝服务 (DoS) 条件并对数据完整性和机密性。
“如果在设备接口上观察到错误情况,设备可能会重新加载或无法接收流量,从而导致拒绝服务 (DoS) 情况,”思科在 9 月 7 日发布的通知中表示。
DPDK是指一组用于快速数据包处理的库和优化的网络接口卡 (NIC) 驱动程序,为高速网络应用程序提供框架和通用 API。
思科表示,它调查了其产品阵容并确定以下服务受到该漏洞的影响,促使网络设备制造商发布软件更新 -
思科 Catalyst 8000V 边缘软件 自适应安全虚拟设备 (ASAv),以及 Secure Firewall Threat Defense Virtual(以前称为 FTDv)
除了 CVE-2022-28199 之外,思科还解决了其 Cisco SD-WAN vManage 软件中的一个漏洞,该漏洞可能“允许访问 VPN0 逻辑网络的未经身份验证的相邻攻击者也访问受影响系统上的消息服务端口。”
该公司将这一缺陷归咎于消息服务器容器端口中缺乏“足够的保护机制” ——分配了标识符CVE-2022-20696 (CVSS 分数:7.5)。它归功于 Orange Business 报告了该漏洞。
思科表示,成功利用该漏洞可能允许攻击者查看消息并将消息注入消息服务,这可能导致配置更改或系统重新加载。
思科修复的第三个漏洞是 Cisco Webex 应用程序消息接口中的漏洞(CVE-2022-20863,CVSS 评分:4.3),该漏洞可能使未经身份验证的远程攻击者能够修改链接或其他内容并进行网络钓鱼攻击。
“这个漏洞的存在是因为受影响的软件没有正确处理字符渲染,”它说。“攻击者可以通过在应用程序界面中发送消息来利用此漏洞。”
思科感谢币安红队的 Rex、Bruce 和 Zachery 发现并报告了该漏洞。
最后,它还披露了影响 Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的身份验证绕过漏洞(CVE-2022-20923,CVSS 评分:4.0)的详细信息,该公司表示由于产品即将结束,因此不会修复寿命(EOL)。
“思科尚未发布也不会发布软件更新来解决该漏洞,”该公司指出,鼓励用户“迁移到思科小型企业 RV132W、RV160 或 RV160W 路由器”。
CVE-2022-20923 描述
Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的 IPSec VPN 服务器身份验证功能中的一个漏洞可能允许未经身份验证的远程攻击者绕过身份验证控制并访问 IPSec VPN 网络。该漏洞是由于密码验证算法实施不当造成的。攻击者可以通过使用精心制作的凭据从受影响的设备登录 VPN 来利用此漏洞。成功的利用可能允许攻击者绕过身份验证并访问 IPSec VPN 网络。攻击者可能会获得与管理用户相同级别的权限,具体取决于使用的精心制作的凭据。思科尚未发布解决此漏洞的软件更新。