Уязвимость в Cisco IOS и IOS XE затрагивает промышленные маршрутизаторы

Cisco обнаружила в своем ПО Cisco IOS и IOS XE более десятка опасных уязвимостей. Одна из них затрагивает маршрутизаторы Cisco промышленного класса серий 800 и 1000.

Речь идет об уязвимости с идентификатором CVE-2019-12648. Она получила оценку 9,9 балла по шкале CVSS v.3.0 и позволяет злоумышленнику получить несанкционированный доступ к гостевой ОС от имени пользователя root. Однако эта уязвимость затрагивает лишь гостевую ОС на виртуальной машине, запущенной на IOS-устройстве, и ни при каких условиях не предоставляет атакующему прав администратора на самой IOS. Злоумышленник может воспользоваться этой уязвимостью, выполнив аутентификацию в гостевой ОС, используя учетные данные пользователя с низким уровнем привилегий.

Чтобы быстро определить, подвержена ли конкретная версия ПО Cisco IOS или IOS XE уязвимости, компания Cisco предлагает использовать средство проверки ПО Cisco IOS.

Для устранения уязвимости рекомендуется установить соответствующее обновление. При отсутствии такой возможности с целью снижения риска эксплуатации уязвимости необходимо отключить гостевую ОС.

Источник: Cisco