انتشار آپدیت‌های امنیتی برای رفع نواقص حیاتی در محصولات Cisco و VMware

شرکت‌های Cisco و VMware برای رفع نواقص امنیتی حیاتی در محصولات خو.د، آپدیت‌های امنیتی منتشر کردند. این نواقص ممکن است  برای اجرای کد دلخواه روی سیستم‌های تحت ‌تأثیر، مورد استفاده عاملان مخرب قرار گیرد.

جدی‌ترین مورد در این آسیب‌پذیری‌ها یک نقص Command Injection در Cisco Industrial Network Director (CVE-2023-20036، امتیاز CVSS: 9.9) است که در مؤلفه‌ی رابط کاربری وب جای دارد و در اثر اعتبارسنجی نادرست ورودی هنگام بارگذاری Device Pack رخ می‌دهد.

سیسکو روز ۱۹ آوریل ۲۰۲۳ در اعلانیه‌ای خبر داد «Exploit موفق می‌تواند به مهاجم به‌عنوان NT AUTHORITY/SYSTEM در سیستم عامل اساسی دستگاهِ تحت‌تأثیر، امکان اجرای دستورات دلخواه بدهد». این شرکت بزرگ تجهیزات شبکه همچنین در همین محصول، یک آسیب‌پذیری File Permissions با شدت متوسط (CVE-2023-20039، امتیاز CVSS: 5.5) را، که مهاجم احرازهویت شده و Local می‌توانست برای دیدن اطلاعات حساس از آن سوءاستفاده کند، برطرف کرد. رفع نقص در نسخه‌ی ۱.۱۱.۳ انجام شده است و سیسکو اعتبار گزارش این دو مشکل را به محققی «خارج از شرکت» که از او نام نبرده نسبت داده است.

همچنین سیسکو یک نقص مهم دیگر را نیز در سازوکار احراز هویت خارجی پلتفرم شبیه‌سازی شبکه‌ی Modeling Labs برطرف کرد. این آسیبب‌پذیری که با شناسه‌ی CVE-2023-20154 (امتیاز CVSS: 9.1) ردگیری می‌شود، می‌تواند به یک مهاجم احرازهویت نشده و Remote اجازه‌ی دسترسی به رابط وب با امتیازات مدیریتی بدهد. به‌گفته‌ی این شرکت «برای بهره بردن از این آسیب‌پذیری، مهاجم نیاز به اطلاعات اعتباری کاربری معتبری دارد که روی سرور احراز هویت خارجی مرتبط ذخیره شده باشد». اگر سرور LDAP به‌گونه‌ای پیکربندی شده باشد که به Queryهای جستجوی دارای یک آرایه غیر تهی از رکوردهای منطبق پاسخ دهد (پاسخ‌هایی که شامل رکوردهای مرجع نتایج جستجو باشد) می‌توان از این آسیب‌پذیری گریز از احرازهویت سوءاستفاده کرد. درحالی که راه‌های جایگزینی برای پر کردن این خلأ امنیتی وجود دارد، سیسکو به مشتریانش هشدار می‌دهد که پیش از اجرای این راه‌حل‌ها اثربخشی آن‌ها را در محیط خود بیازمایند. این کاستی با انتشار نسخه‌ی ۲.۵.۱ برطرف شده است.

عرضه آپدیت‌ برای Aria Operations for Logs توسط VMware

VMware در اعلامیه‌ای که روز ۲۰ آوریل ۲۰۲۳ منتشر کرد، نسبت به نقص Deserialization مهمی که بر چندین نسخه از Aria Operations for Logs اثرگذار است (CVE-2023-20864، امتیاز CVSS: 9.8) هشدار داد. به‌گفته‌ی این عرضه‌کننده‌ی خدمات مجازی‌سازی «یک عامل احرازهویت نشده و مخرب با دسترسی شبکه‌ای به VMware Aria Operations for Logs ممکن است بتواند کد‌های دلخواه را به‌صورت Root اجرا کند»

VMware Aria Operations for Log در نسخه‌ی ۸.۱ این آسیب‌پذیری و همچنین یک نقص Command Injection با شدت بالا را (CVE-2023-20865، امتیاز CVSS: 7.2) که می‌تواند به مهاجم دارای امتیازات مدیریتی امکان اجرای دستورات دلخواه به‌صورت Root بدهد، رفع کرده است. این شرکت اظهار کرد «CVE-2023-20864 مشکلی مهم و حیاتی است و باید فوراً رفع نقص شود». «لازم به ذکر است که تنها نسخه‌ی ۸.۱۰.۲ تحت‌تأثیر این آسیب‌پذیری قرار گرفته است»

این هشدار حدود سه ماه بعد از از اینکه VMware دو مشکل حیاتی که می‌توانستند منجر به اجرای کد از راه دور شوند را در همین محصول رفع کرد (CVE-2022-31704 و CVE-2022-31706) صادر شده است.

از آنجاکه به نظر می‌رسد دستگاه‌های Cisco و VMware اهداف پرسودی برای عاملان تهدید هستند، پیشنهاد می‌شود کاربران به‌منظور تعدیل تهدیدهای بالقوه هرچه سریع‌تر نسبت به اِعمال آپدیت‌ها اقدام کنند.