Argitalpen data: 2020/06/04
Garrantzia:
Kritikoa
Kaltetutako baliabideak:
- Cisco IOS XE, 16.3.1 bertsioa eta aurrekoak, IOS XE hosting infrastructure aplikazioa konfiguratuta izanez gero.
- Cisco IOS Software sistemaren bertsio ahul bat exekutatzen ari diren honako produktuak:
- Cisco 809 and 829 Industrial ISRs,
- CGR1000,
- Cisco IOS;
- Cisco IOS XE;
- Cisco IOS XXR;
- Cisco IOS XE, UI webgunea gaituta;
- Cisco IOS XE, HTTP zerbitzari ezaugarria gaituta;
- Cisco IOS edo Cisco IOS XE, CIP-erako konfiguratuta. CIP ez dator berez konfiguratuta;
- Cisco IOS edo Cisco IOS XE, SSH konexioak onartzeko konfiguratuta;
- Cisco IOS edo Cisco IOS XE, IKEv2 ezaugarria konfiguratuta. IKEv1 ezaugarria duten gailuek ez dute kalterik jasan.
- Cisco Catalyst Series Switches, Cisco IOS edo Cisco IOS XE sistemen bertsio ahul bat exekutatzen badute:
- Cisco Catalyst 4500, SNMP polling-erako konfiguratuta, Power over Ethernet (PoE) txartelak instalatuta;
- Aplication Visibility and Control (AVC) ezaugarria gaituta duten edo LSCekin konfiguratuta dauden Cisco Catalyst 9800.
- Catalyst 3650 Series Switches;
- Catalyst 3850 Series Switches;
- Catalyst 9200 Series Switches;
- Catalyst 9300 Series Switches;
- Catalyst 9500 Series Switches.
- Cisco IOS edo Cisco IOS XSren bertsio ahulak exekutatzen dituzten Routers Cisco tresnak, honako ezaugarriak konfiguratuta:
- Cisco Unified Border Element (CUBE);
- Cisco Unified Communications Manager Express (CME);
- Cisco IOS Gateways con Session Initiation Protocol (SIP)
- Cisco TDM Gateways;
- Cisco Unified Survivable Remote Site Telephony (SRST);
- Cisco Business Edition 4000 (BE4K).
- Cisco NX-OS daukaten eta onePK ezaugarria gaituta duten honako gailuak:
- Nexus 3000 Series Switches;
- Nexus 5500 Platform Switches;
- Nexus 5600 Platform Switches;
- Nexus 6000 Series Switches;
- Nexus 7000 Series Switches;
- Nexus 9000 Series Switches en modo NX-OS independiente (standalone).
- 1.9.0 bertsioaren aurreko IOx Application Framework sistemaren bertsioak exekutatzen dituzten gailuak:
- 800 Series Industrial Integrated Services Routers (Industrial ISRs);
- 800 Series Integrated Services Routers (ISRs);
- 1000 Series Connected Grid Routers (CGR1000) Compute Module;
- IC3000 Industrial Compute Gateway;
- Industrial Ethernet (IE) 4000 Series Switches;
- IOS XE sistemetan oinarritutako gailuak:
- 1000 Series ISRs,
- 4000 Series ISRs,
- ASR 1000 Series Aggregation Services Routers,
- Catalyst 9x00 Series Switches,
- Catalyst IE3400 Rugged Series Switches,
- Embedded Services 3300 Series Switches,
- IR510 WPAN Industrial Routers.
Azalpena:
Ciscok hainbat produkturi eragiten dieten
26 ahultasun atzeman ditu, 4 kritikoak eta 22 larritasun handikoak.
Konponbidea:
Aipatutako ahultasunak konpontzen dituzten
eguneratzeak Ciscoren
Softwarearen deskarga paneletik deskargatu daitezke: Informazio zehatzagoa
izateko, kontsultatu Erreferentzien atala.
Xehetasuna:
Atzemandako ahultasunen ondorioz,
erasotzaile batek honako ekintzak burutu litzake:
- Pribilegioak handitzea,
- Komandoen injekzioa,
- Kode arbitrarioa exekutatzea,
- Root pribilegioak dituen urrutiko kode exekuzioa,
- Zerbitzua ukatzeko baldintza sortzea (DoS),
- Gailuan baimendu gabeko softwarea instalatzea,
- Kredentzial barneratuen bidez sisteman sartzea,
- Fitxategiak manipulatzea.
Larritasun kritikoko ahultasunei honako
identifikatzaileak esleitu zaizkie: CVE-2020-3227, CVE-2020-3205, CVE-2020-3198
eta CVE-2020-3198.
Etiketak: Eguneraketa, CISCO, Ahultasuna