Cisco, bugün şirketin siteler arası komut dosyası saldırıları için kullanılabilecek ana işbirliği dağıtım (PCD) yazılımında sıfır günlük bir güvenlik açığı açıkladı.
Bu sunucu yönetimi yardımcı programı, yöneticilerin kuruluşlarının envanterindeki sunucularda geçiş veya yükseltme görevlerini gerçekleştirmesini sağlar.
CVE-2023-20060 olarak izlenen hata, NATO Siber Güvenlik Merkezi'nin (NCSC) Pierre Vivegnis tarafından Cisco PCD 14 ve daha önceki Web tabanlı yönetim arayüzünde bulundu.
Başarılı sömürü, kimlik doğrulanmamış saldırganların siteler arası komut dosyası saldırıları uzaktan başlatmalarını sağlar, ancak kullanıcı etkileşimi gerektirir.
Cisco, "Web tabanlı yönetim arayüzü kullanıcı tarafından sağlanan girişi doğru bir şekilde doğrulamadığı için bu güvenlik açığı mevcuttur. Bir saldırgan, arayüzün bir kullanıcısını hazırlanmış bir bağlantıyı tıklamaya ikna ederek bu güvenlik açığını kullanabilir."
"Başarılı bir istismar, saldırganın etkilenen arayüz veya erişime duyarlı, tarayıcı tabanlı bilgiler bağlamında keyfi komut dosyası kodu yürütmesine izin verebilir."
Cisco, kusurun etkisi hakkında bilgi paylaşırken, şirket önümüzdeki ay bunu ele almak için güvenlik güncellemelerini yayınlayacak. Şimdilik, saldırı vektörünü kaldırmak için hiçbir geçici çözüm mevcut değil.
Neyse ki, Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT) henüz vahşi doğada kötü niyetli kullanım kanıtı bulamadı ve hatayı hedefleyen kamu istismar kodundan habersiz.
Cisco ayrıca, Aralık 2023'ün başlarında açıklanan halka açık istismar koduyla başka bir yüksek şiddetli IP telefonu sıfır gününü (CVE-2022-20968) yamaladı.
Şirket, güvenlik güncellemelerinin Ocak 2023'te yayınlanacağına söz verdi ve güvenlik açığını 18 Ocak'ta yayınlanan yeni bir ürün yazılımı sürümü ile yamaladı. Ancak danışma henüz güncellenmedi ve ürün yazılımı güncellemesi ancak bir Cisco hesabınız varsa indirilebilir. .
Cisco'nun PSIRT'si, "kavram kanıtı istismar kodunun mevcut olduğunun farkında" ve "kırılganlığın kamuya açıklandığı" konusunda uyardı.
CVE-2022-20968'den etkilenen cihazlar, 7800 ve 8800 Serisi ürün yazılımı sürüm 14.2 ve önceki Cisco IP telefonlarını içerir.
Cisco, bu IP telefonu sıfır günü için geçici bir çözüm sağlamamasına rağmen, yöneticilere bir geri dönüş seçeneği olarak bağlantı katmanı keşif protokolünü (LLDP) destekleyen etkilenen cihazlarda Cisco keşif protokolünün devre dışı bırakılmasını gerektiren geçici azaltma önlemleri uygulamalarını tavsiye etti.
Şirket, "Bu önemsiz bir değişim değildir ve cihazlar için herhangi bir potansiyel etkiyi değerlendirmek için işletme adına gayret gerektirecektir.
GÜNCELLEME 27 Nisan 14:45 EDT: IP telefonunun sıfır gününün Ocak ayında yamalandığını söylemek için revize edilmiş hikaye (danışma henüz bu bilgilerle güncellenmedi).
VMware, PWN2OWN'da kullanılan kritik sıfır gün istismar zincirini düzeltir
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
Fortra, Goany Where MFT Zero-Day saldırılarıyla ilgili bulguları paylaşıyor
Google, aktif olarak sömürülen başka bir krom sıfır gün
Microsoft Nisan 2023 Patch Salı Düzeltmeleri 1 Sıfır Gün, 97 Kusur
Kaynak: Bleeping Computer