Cụ thể, Cisco đã vá tổng cộng 27 lỗ hổng bảo mật trong nền tảng IOS XE. Lỗ hổng nghiêm trọng nhất định danh CVE-2021-34770 có điểm CVSS là 10 có thể dẫn đến thực thi mã từ xa mà không cần xác thực với đặc quyền của quản trị viên. Lỗ hổng này tồn tại trong quá trình xử lý giao thức của phần mềm IOS XE trong bộ điều khiển không dây Catalyst 9000, có thể bị khai khác để gây ra tình trạng từ chối dịch vụ.
Theo Cisco, do quá trình xác nhận gói tin CAPWAP có sai sót, kẻ tấn công có thể gửi một gói tin được tạo đặc biệt tới một thiết bị tồn tại lỗ hổng để chạy mã tùy ý hoặc khiến thiết bị gặp sự cố và tải lại.
Lỗ hổng ảnh hưởng đến các thiết bị chuyển mạch dòng Catalyst 9300, 9400, 9500, bộ điều khiển không dây Catalyst 9800 và 9800-CL và thiết bị Embedded Wireless Controller on Catalyst.
Cùng với đó, Cisco cũng giải quyết lỗ hổng tràn bộ đệm trong IOS XE SD-WAN, có thể cho phép kẻ tấn công từ xa chưa được xác thực thực hiện các lệnh tùy ý với đặc quyền root hoặc gây ra tình trạng từ chối dịch vụ.
Một lỗ hổng khác có định danh CVE-2021-34727 với điểm CVSS là 9,8, tồn tại trong tiến trình vDaemon của phần mềm Cisco IOS XE SD-WAN khi xử lý lưu lượng mạng. Các sản phẩm bị ảnh hưởng bao gồm bộ định tuyến dịch vụ tích hợp (ISR) dòng 1000, 4000, bộ định tuyến dịch vụ tổng hợp (ASR) dòng 1000 và bộ định tuyến dịch vụ đám mây dòng 1000V.
Một lỗ hổng nghiêm trọng khác cũng được vá trong bản cập nhật lần này định danh CVE-2021-1619, có điểm CVSS là 9,8, tồn tại trong chức năng xác thực, ủy quyền của nền tảng IOS XE. Do một biến chưa được khởi tạo, cho phép kẻ tấn công từ xa chưa được xác thực gửi yêu cầu NETCONF hoặc RESTCONF để vượt qua quá trình xác thực và thao túng cấu hình của thiết bị hoặc gây ra từ chối dịch vụ.
Hiện tại, Cisco đã vá tất cả các lỗ hổng. May mắn, chưa có lỗ hổng nào bị tin tặc khai thác trong thực tế.
Hương Mai
09:00 | 13/10/2021
09:00 | 15/10/2021
10:00 | 12/11/2021
14:00 | 24/09/2021
10:00 | 27/08/2021
09:00 | 23/11/2021
14:00 | 11/02/2022
10:00 | 01/09/2021
10:00 | 05/03/2025
Theo thông tin mới được công bố, hạng mục xe ô tô tự hành (Automotive) của cuộc thi Pwn2Own Berlin thu hút sự quan tâm đặc biệt của giới bảo mật, bởi các mục tiêu và giải thưởng được niêm yết.
14:00 | 20/02/2025
Ngày 13/2, Liên minh châu Âu (EU) thông báo, các nền tảng kỹ thuật số đã cam kết tăng cường nỗ lực kiểm soát thông tin sai lệch theo bộ quy tắc ứng xử của khối vốn có hiệu lực từ ngày 1/7/2025. Tuy nhiên, mạng xã hội X của tỷ phú Elon Musk không tham gia cam kết này.
10:00 | 31/12/2024
Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.
08:00 | 22/12/2024
Do để lộ thông tin cá nhân của hàng triệu người dùng trong sự cố bảo mật năm 2017, Meta bị Liên minh châu Âu đưa ra án phạt với số tiền lên tới 251 triệu EUR (tương đương 263 triệu USD).
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Ngày 07/3/2025, Google đã công bố sẽ trao 11,8 triệu USD tiền thưởng cho 660 nhà nghiên cứu đã báo cáo lỗ hổng bảo mật thông qua các chương trình Bug Bounty của công ty vào năm 2024.
14:00 | 19/03/2025
