Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 5 Novembre 2021 11:11
Cisco Systems ha rilasciato aggiornamenti di sicurezza per affrontare le vulnerabilità in più prodotti Cisco che potrebbero essere sfruttate da un utente malintenzionato per accedere come utente root e assumere il controllo dei sistemi vulnerabili.
Tracciata come CVE-2021-40119, la vulnerabilità è stata valutata con gravità 9,8 su un massimo di 10 nel sistema di punteggio CVSS e deriva da una debolezza nel meccanismo di autenticazione SSH di Cisco Policy Suite.
“Un utente malintenzionato potrebbe sfruttare questa vulnerabilità collegandosi a un dispositivo interessato tramite SSH. Un exploit riuscito potrebbe consentire all’attaccante di accedere al sistema interessato come utente root”.
Cisco ha affermato che il bug è stato scoperto durante i test di sicurezza interni.
Cisco Policy Suite Release 21.2.0 creerà automaticamente anche nuove chiavi SSH durante l’installazione, richiedendo al contempo un processo manuale per modificare le chiavi SSH predefinite per i dispositivi che vengono aggiornati dalla 21.1.0.
Cisco affronta anche le molteplici vulnerabilità critiche che interessano l’interfaccia di gestione basata sul Web degli switch della serie Cisco Catalyst Passive Optical Network (PON) Optical Network Terminal (ONT) che potrebbero consentire a un utente malintenzionato e remoto non autenticato di accedere utilizzando un account di debug esistente sul dispositivo e assumere il controllo, eseguire un’iniezione di comando e modificare la configurazione del dispositivo.
Infine, Cisco ha corretto altri due difetti di elevata gravità negli switch Cisco Small Business Series e Cisco AsyncOS che potrebbero consentire ad avversari remoti non autenticati di ottenere l’accesso non autorizzato all’interfaccia di gestione basata sul Web degli switch ed eseguire un Denial of Service (DoS ) attacco:
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneÈ stato rilasciato uno strumento che consente il monitoraggio discreto dell’attività degli utenti di WhatsApp e Signal utilizzando solo un numero di telefono. Il meccanismo di monitoraggio copre o...
Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
