Kritická zraniteľnosť v produkte Cisco Unified Industrial Wireless Software
Spoločnosť Cisco vydala bezpečnostné aktualizácie svojho produktu Cisco Unified Industrial Wireless Software, ktoré opravujú kritickú zraniteľnosť. Produkt je využívaný v rámci URWB (Ultra Reliable Wireless Backhaul) prístupových bodov určených pre priemyselné siete. CVE-2024-20418 možno zneužiť na vzdialené vykonanie príkazov.
Zraniteľné systémy:
- prístupové body Cisco Catalyst IW9165D, Catalyst IW9165E a Catalyst IW9167E s Cisco Unified Industrial Wireless Software vo verziách starších ako 17.15.1
Pozn.: Zraniteľnosť je možné zneužiť len na prístupových bodoch, ktoré sú prevádzkované v režime UWBR. Či je Vaše zariadenie prevádzkované v tomto režime môžete overiť zadaním konzolového príkazu „show mpls-config“, ktorý je dostupný len na zariadeniach v tomto režime.
Opis zraniteľnosti:
CVE-2024-20418 (CVSS skóre 10,0)
Kritická zraniteľnosť Cisco Unified Industrial Wireless Software spočíva v nedostatočnom overovaní používateľských vstupov v rámci webového manažmentového rozhrania a vzdialený neautentifikovaný útočník by ju zaslaním špeciálne vytvorenej HTTP požiadavky mohol zneužiť na vzdialené vykonanie príkazov na operačnom systéme zariadenia, s oprávneniami používateľa root.
Možné škody:
- Vzdialené vykonanie kódu
Odporúčania:
Bezodkladná aktualizácia Cisco Unified Industrial Wireless Software na verziu 17.15.1 a vyššie.
Zdroje: