Cisco Systems , IOS XE ağ yazılımı çalıştıran yönlendiriciler (router) ve anahtarlar (switch) dahil olmak üzere geniş bir ürün yelpazesindeki kusurları gideren 29 açık için yama yayınladı. Ortaya çıkan güvenlik açıklarının on üçünün ciddiyeti yüksek.
Önem derecesi yüksek güvenlik açıklarının büyük kısmı hizmet reddi saldırılarına yol açabilecek koşullara bağlanırken, diğerleri komut enjeksiyon hataları (CVE-2019-12650 ve CVE-2019-12651) ve bir dijital imza doğrulama bypass hatası (CVE-2019-12649).
Hatalardanbiri (CVE-2019-12648), Cisco’nun IOS yazılımını çalıştıran “Guest OS” yüklü olan Cisco 800 ve 1000 serisi yönlendiricileri etkiliyor. Danışma, “Bir istismar, saldırganın konuk işletim sisteminerootkullanıcısı olarak yetkisiz erişim kazanmasına izin verebilir ” diyor.
İlginçtir ki, hata (CVE-2019-12648) 9,9 olan Ortak Güvenlik Açığı Puanlama Sistemine (sürüm 3) sahip. Skor kritik önem derecesini gösteriyor. Ancak bu hatanın neden 9,9 yüksek önem derecesine sahip olduğu belli değil.
Cisco’nun ASR 900 serisi yönlendiricilerini etkileyen bir başka ISO XE hatası (CVE-2019-12653), “kimliği doğrulanmamış, uzaktaki bir saldırganın etkilenen bir cihazın yeniden yüklenmesini tetikleyerek, hizmet reddi durumunun reddedilmesine neden olabilir” dedi Cisco.
Güvenlik uyarılarınınbirkısmı IOS’daki L2 traceroute özelliğininkullanıcıları için bir uyarıda içeriyordu . Cisco, bu kullanıcılara IOS’ta ortak kullanım kodu olan bir L2 traceroute özelliğini devre dışı bırakmalarını tavsiye ediyor. Cisco yazdı, L2 traceroute özelliği Cisco Catalyst anahtarları için Cisco IOS ve IOS XE Yazılımlarında varsayılan olarak etkindir.
Yamalar, ağ devi Cisco Veri Merkezi Ağ Yöneticisi’ni etkileyen, geçen hafta ele alınan kritik olarak değerlendirilen iki hataya neden oldu. Bu kusurlardan biri (CVE-2019-1619), CVSS puanı 9,8 olan bir kimlik doğrulama baypass hatasıdır.
Cisco, “Cisco Veri Merkezi Ağ Yöneticisi’nin (DCNM) web tabanlı yönetim arayüzündeki güvenlik açığı, kimliği doğrulanmayan, uzak bir saldırganın kimlik doğrulamasını atlamasına ve etkilenen bir aygıtta yönetimsel ayrıcalıklarla rasgele eylemler gerçekleştirmesine izin verebilir” dedi.
DCNM’yietkileyen diğer önemli hata (CVE-2019-1620), 9.8 CVSS derecesinde rastgele bir dosya yükleme ve uzaktan kod yürütme güvenlik açığıdır. Cisco, hatanın başarıyla kullanılmasının “kimliği doğrulanmamış, uzak bir saldırganın etkilenen bir cihaza rastgele dosya yüklemesine izin verebileceğini” söyledi.