Маршрутизаторам Cisco угрожает критическая уязвимость в Cisco IOS XE

Разработчики Cisco исправили критическую уязвимость в операционной системе Cisco IOS XE, получившую 10 баллов из 10 по шкале CVSS. Проблема позволяет любому желающему обойти авторизацию на устройстве, не зная пароля.

Уязвимости был присвоен идентификатор CVE-2019-12643. Проблема связана с некорректной проверкой области кода, отвечающей за аутентификационный сервис REST API.  По сути, для эксплуатации бага злоумышленнику достаточно отправлять вредоносные HTTP-запросы на целевое устройство. Таким образом атакующий сможет получить token-id аутентифицированного пользователя и с его помощью обойти аутентификацию, получив возможность выполнять привилегированные действия через интерфейс контейнера виртуальных служб REST API.

Сообщается, что интерфейс REST API не активен по умолчанию и должен быть установлен и активирован на устройствах с IOS XE отдельно. Однако если он активен, данная проблема представляет угрозу для следующих продуктов компании:

  • Cisco 4000 Series Integrated Services Routers;
  • Cisco ASR 1000 Series Aggregation Services Routers;
  • Cisco Cloud Services Router 1000V Series;
  • Cisco Integrated Services Virtual Router.

Пока случаев эксплуатации данной проблемы зафиксировано не было, но эксперты Cisco все равно рекомендуют пользователям обновиться как можно быстрее.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.