Cisco fixes critical Aironet Access Points flaw, addresses 29 more bugs
Ngày hôm nay Cisco đã phát hành 28 lời khuyên về bảo mật, trong quá trình xử lý tổng cộng có 30 lỗ hổng, bao gồm cả lỗi truy cập trái phép nghiêm trọng được tìm thấy trong phần mềm “Điểm truy cập (AP)” của Cisco Aironet.
CVE-2.019-15.260 đã chính thức được chỉ định, các lỗ hổng có khả năng bị khai thác về những thông tin riêng tư, can thiệp vào các tùy chọn cấu hình và vô hiệu hóa các AP, tạo ra từ chối điều kiện dịch vụ cho khách hàng kết hợp với AP.
Theo tư vấn của Cisco, lỗ hổng là do kết quả của việc kiểm soát truy cập không đầy đủ đối với một số URL nhất định. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách yêu cầu các URL cụ thể từ một AP bị ảnh hưởng. Một khai thác có thể cho phép kẻ tấn công có được quyền truy cập vào thiết bị với các đặc quyền nâng cao, các trạng thái tư vấn. Trong khi kẻ tấn công sẽ không được cấp quyền truy cập vào tất cả các tùy chọn cấu hình có thể, nó có thể cho phép kẻ tấn công xem thông tin nhạy cảm và thay thế một số tùy chọn bằng các giá trị mà chúng chọn, bao gồm cả cấu hình mạng không dây.
Cisco đã phát hành bản cập nhật phần mềm để khắc phục các sản phẩm bị ảnh hưởng, được xác định là Aironet 1540 Series, Aironet 1560 Series, Aironet 1800 Series, Aironet 2800 Series, Aironet 3800 Series và Aironet 4800.
Vòng tư vấn mới nhất của Cisco cũng bao gồm sáu lỗ hổng cấp độ cao, được tìm thấy trong Bộ điều khiển mạng LAN không dây, Bộ điều hợp điện thoại tương tự sê-ri SPA100, Công tắc thông minh và quản lý doanh nghiệp nhỏ và Aironet.
Các sản phẩm được tìm thấy có lỗi cấp độ trung bình bao gồm Bộ điều khiển LAN không dây, Đường cao tốc và Máy chủ liên lạc video TelePresence, Phần mềm điểm cuối hợp tác TelePresence, Bộ điều hợp điện thoại tương tự sê-ri SPA100, Thiết bị định tuyến SPA122, Thiết bị định tuyến và Thiết bị chuyển mạch thông minh dành cho doanh nghiệp nhỏ. Trung tâm quản lý hỏa lực và Aironet.