آسیبپذیری بحرانی در مسیریابهای ویژه شرکتهای کوچک #سیسکو (RV110W, RV130W,RV215W) و یک آسیبپذیری درجه بحرانی بالا در
آسیبپذیری در مسیریابهای مخصوص شرکت های کوچک
یک آسیبپذیری بحرانی در
شناسه آسیبپذیری: CVE-2019-1663
درجه اهمیت: بحرانی CVSS3 Base Score 9.8
تجهیزات آسیبپذیر عبارت اند از:
RV110W Wireless-N VPN Firewall
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیشفرض غیرفعال است.
راه حل
در نسخههای نرمافزاری زیر، این نقص برطرف شده است. همه نسخههای ماقبل، آسیبپذیر هستند:
RV110W Wireless-N VPN Firewall: 1.2.2.1
RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
RV215W Wireless-N VPN Router: 1.3.1.1
آسیبپذیری در محصولات ویدئوکنفرانس
آسیبپذیری با درجه اهمیت بالا در نرمافزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیبپذیری به مهاجم محلیِ احراز هویت نشده اجازه میدهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
هرچند برای بهرهبرداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیطهای دارای Active Directory، میتوان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهرهبرداری کرد. (
شناسه: CVE-2019-1674
درجه اهمیت: بالا CVSS3 Base Score 7.8
راه حل
نرمافزارهای نامبرده را به نسخه بهروز شده (مطابق جدول زیر) ارتقاء دهید.
محصول |
نسخه آسیبپذیر |
نسخه بهروز شده |
Cisco Webex Meetings Desktop App |
ماقبل 33.6.6 |
33.6.6 و 33.9.1 |
Cisco Webex Productivity Tools |
32.6.0 به بعد، تا قبل از 33.0.7 |
33.0.7 |
منبع:
6 توصیه مهم برای انتخاب مشاور برون سپاری مناسب در حوزه خدمات IT
رفع آسیبپذیریهای مسیریابهای RV320 و RV325 توسط سیسکو در هفتهی اول ماه آوریل 2019