Firma Cisco wydała aktualizacje naprawiające 43 podatności w jej produktach, 22 z nich posiada wysoki priorytet.

Podatności:

CVE-2019-12689, CVE-2019-12687, CVE-2019-12688, CVE-2019-12690 – nieprawidłowa weryfikacja danych wejściowych. Atakujący może wykorzystać tę podatność wysyłając złośliwe polecenia do interfejsu webowego urządzenia, co może umożliwić wykonanie dowolnego kodu.

CVE-2019-12679, CVE-2019-12680, CVE-2019-12681, CVE-2019-12682, CVE-2019-12683, CVE-2019-12684,  CVE-2019-12685,  CVE-2019-12686 – nieprawidłowa weryfikacja danych wejściowych. Atakujący może wykorzystać tę podatność wysyłając spreparowane zapytania SQL, co może umożliwić dostęp do informacji zastrzeżonych.

  • Cisco FMC Software

CVE-2019-12699 – nieprawidłowa weryfikacja danych wejściowych. Atakujący może wykorzystać tę podatność edytując określone polecenia CLI, co może umożliwić wykonanie dowolnego kodu

  • Cisco Firepower 1000 Series Appliances
  • Cisco Firepower 2100 Series Appliances
  • Cisco Firepower 4100 Series Appliances
  • Cisco Firepower 9300 Series Appliances

CVE-2019-12700 – niewłaściwe zarządzanie zasobami. Atakujący może wykorzystać tę podatność łącząc się z systemem i wykonując wiele równoczesnych udanych operacji logowania przez SSH, co umożliwia wyczerpanie zasobów systemowych a tym samym warunek odmowy usługi (DoS).

  • Cisco FTD Software
  • Cisco FMC Software
  • Cisco FXOS Software

CVE-2019-12674, CVE-2019-12675 – niewystarczająca protekcja systemu plików. Atakujący może wykorzystać tę podatność modyfikując pliki w systemie plików, co umożliwia wykonywanie poleceń z uprawnieniami administratora.

  • Firepower 4100 Series Security Appliances
  • Firepower 9300 Series Security Appliances

CVE-2019-1915 – Cross-site request forgery (CSRF). Atakujący może wykorzystać tę podatność nakłaniając użytkownika do kliknięcia w złośliwy URL, co umożliwia wysyłanie dowolnych żądań, które mogłyby zmienić hasło użytkownika docelowego.

  • Cisco Unified Communications Manager
  • Cisco Unified Communications Manager SME
  • Cisco Unified CM IM&P Service
  • Cisco Unity Connection

CVE-2019-12673 – niewystarczające sprawdzanie poprawności danych FTP. Atakujący może wykorzystać tę podatność wysyłając złośliwe żądania FTP za pośrednictwem podatnego urządzenia, co umożliwia wywołanie stanu DoS.

CVE-2019-12678 – nieprawidłowa analiza komunikatów SIP. Atakujący może wykorzystać tę podatność wysyłając złośliwy pakiet SIP, co umożliwia niedopełnienie liczby całkowitej, a tym samym prowadzi do awarii.

  • Cisco ASA Software
  • Cisco FTD Software

CVE-2019-15256 – niewłaściwe zarządzanie pamięcią systemową. Atakujący może wykorzystać tę podatność wysyłając złośliwy ruch IKEv1 na zaatakowane urządzenie, co umożliwia na wyczerpanie zasobów pamięci systemowej, prowadząc do restartu urządzenia.

  • Adaptive Security Virtual Appliance (ASAv)
  • Firepower 2100 Series Appliances
  • Firepower Threat Defense Virtual (FTDv)

Pozostałe podatności:

https://tools.cisco.com/security/center/publicationListing