سیسکو وصله‌هایی را برای رفع سه نقص امنیتی مؤثر بر محصولاتش منتشر کرد، از جمله ضعف شدیدی که در اواخر ماه گذشته در NVIDIA Data Plane Development Kit (MLNX_DPDK) فاش شد.
این آسیب‌پذیری که با عنوان CVE-2022-28199 ردیابی می‌شود (امتیاز CVSS: 8.6)، ناشی از عدم مدیریت صحیح خطا در پشته شبکه DPDK است که به یک مهاجم ریموت امکان می‌دهد تا شرایط انکار سرویس (DoS) را فراهم کند و بر حفظ و محرمانگی داده‌ها نیز تأثیر بگذارد.

سیسکو در اطلاعیه‌ای که در 7 سپتامبر منتشر شد، گفت: اگر یک شرایط error در رابط دستگاه مشاهده شود، دستگاه ممکن است reload شود یا ترافیک دریافت نکند و در نتیجه وضعیت انکار سرویس (DoS) ایجاد شود.

سیسکو اعلام کرد که خط تولید محصولات خود را بررسی کرده و تشخیص داده است که سرویس‌های زیر تحت‌تأثیر این باگ قرار می‌گیرند:

• Cisco Catalyst 8000V Edge Software
• Adaptive Security Virtual Appliance (ASAv), and
• Secure Firewall Threat Defense Virtual (formerly FTDv)

جدا از CVE-2022-28199، سیسکو یک آسیب‌پذیری را در نرم‌افزار Cisco SD-WAN vManage نیز برطرف کرده است که می‌تواند به مهاجم احراز هویت نشده که به شبکه منطقی VPN0 دسترسی دارد، اجازه دهد به پورت‌های سرویس پیام‌رسانی در یک سیستم آسیب‌دیده نیز دسترسی داشته باشد.

این شرکت دلیل این نقص را که با شناسه CVE-2022-20696 (امتیاز CVSS: 7.5) شناخته می‌شود، عدم وجود مکانیسم‌های حفاظتی کافی در پورت‌های کانتینر سرور پیام‌رسان می‌داند. سیسکو شرکت Orange Business را برای گزارش این آسیب‌پذیری اعتبار بخشید.

سیسکو گفت: بهره‌برداری موفقیت‌آمیز از این نقص می‌تواند به مهاجم اجازه دهد پیام‌ها را مشاهده و به سرویس پیام‌رسانی تزریق کند، که می‌تواند باعث تغییرات در پیکربندی یا reload سیستم شود.

سومین نقصی که توسط سیسکو برطرف شد، یک آسیب‌پذیری در رابط پیام‌رسانی Cisco Webex (CVE-2022-20863، امتیاز CVSS: 4.3) است که می‌تواند یک مهاجم احراز هویت نشده و ریموت را قادر به اصلاح لینک‌ها یا سایر محتواها و انجام حملات فیشینگ کند.