Hai lỗ hổng DoS mức nghiêm trọng trong thiết bị Wireless LAN Controller là CVE-2017-12275 và CVE-2017-12278 cho phép kẻ tấn công thực hiện tải lại các thiết bị bị ảnh hưởng và khiến hệ thống bị DoS.
Cisco cũng đã xử lý các lỗ hổng nghiêm trọng trong các bộ định tuyến Aironet. Các lỗi CVE-2017-12273 và CVE-2017-12274 có thể bị kẻ tấn công khai thác qua tần số vô tuyến Layer 2 để gửi yêu cầu đặc biệt, khiến hệ thống chuyển sang bị DoS.
Đối với các sản phẩm an ninh, Cisco đã vá một lỗ hổng nghiêm trọng trong một số thiết bị Firepower. Lỗ hổng được định danh là CVE-2017-12277, cho phép kẻ tấn công xác thực thực thi lệnh với đặc quyền root.
Một sản phẩm an ninh khác cũng được vá là Indentity Services Engine (ISE), một cơ chế dịch vụ nhận diện của Cisco, chứa lỗi leo thang đặc quyền (CVE-2017-12261) cho phép kẻ tấn công xác thực chạy các lệnh command-line interface (CLI) tùy ý với đặc quyền root.
Các sản phẩm đám mây bị ảnh hưởng bởi các lỗ hổng thuộc mức nghiêm trọng cao bao gồm: ứng dụng Prime Collaboration Provisioning bị ảnh hưởng bởi lỗ hổng SQL injection, dùng để khai thác từ xa qua việc xác thực (CVE-2017-12276) và thiết bị kiểm soát Policy Infrastructure của Cisco, kẻ tấn công trái phép có thể chiếm quyền truy cập đặc quyền đến các dịch vụ có sẵn trong mạng nội bộ (CVE-2017-12262).
Do những lỗ hổng này được nội bộ Cisco phát hiện, nên không có bằng chứng của việc khai thác nhằm mục đích xấu.
BM
(theo Whitehat)
14:00 | 28/12/2017
09:00 | 08/04/2019
08:00 | 02/01/2020
10:00 | 06/02/2025
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
15:00 | 23/01/2025
Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.
16:00 | 20/01/2025
Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025