Cụ thể, lỗ hổng nghiêm trọng định danh CVE-2023-20049 có điểm CVSS 8,6, ảnh hưởng tính năng giảm tải phần cứng phát hiện chuyển tiếp hai chiều (BFD) và có thể bị khai thác từ xa không cần xác thực.
Trên các thiết bị có bật tính năng tồn tại lỗ hổng, các gói BFD không đúng định dạng được xử lý không chính xác, cho phép kẻ tấn công gửi các gói BFD IPv4 tự tạo đến địa chỉ IPv4 được định cấu hình và kích hoạt lỗ hổng.
Nếu khai thác thành công có thể cho phép kẻ tấn công tạo ra các ngoại lệ trên line card hoặc khiến các thiết bị phải khởi động lại bằng các phím cứng dẫn đến mất mát lưu lượng trên line card đó.
Cisco khuyến cáo người dùng nên tắt tính năng giảm tải phần cứng BFD, bằng cách xóa tất cả các lệnh bật hw-module bfw-hw-offload và đặt lại line card.
Lỗ hổng ảnh hưởng đến các bộ định tuyến ASR 9000 có cài đặt line card Lightspeed hoặc Lightspeed-Plus và các bộ định tuyến hiệu suất cao ASR 9902 và ASR 9903.
Các bản vá cho lỗ hổng này đã được tích hợp vào phiên bản phần mềm iOS XR 7.5.3, 7.6.2 và 7.7.1.
M.H
14:00 | 10/05/2023
12:00 | 10/03/2023
16:00 | 15/04/2024
10:00 | 23/02/2023
07:00 | 10/02/2023
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
14:00 | 05/09/2024
Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.
Thông qua diễn tập thực chiến vừa tổ chức, các cơ quan, đơn vị trong Ban Cơ yếu Chính phủ đã có cơ hội nhìn nhận, đánh giá năng lực ứng phó của đơn vị mình trước những mối nguy hại, cuộc tấn công trên không gian mạng.
10:00 | 04/10/2024