Cụ thể, lỗ hổng định danh CVE-2022-20823 ảnh hưởng đến tính năng OSPF phiên bản 3 (OSPFv3) của NX-OS có thể bị khai thác từ xa không cần xác thực để gây ra tình trạng tấn công từ chối dịch vụ.
Lỗ hổng tồn tại do việc xác thực đầu vào thiếu chặt chẽ của các gói OSPFv3, cho phép kẻ tấn công gửi thông điệp OSPFv3 LSA độc hại đến một thiết bị dễ bị tấn công để kích hoạt.
Việc khai thác thành công cho phép tin tặc gây ra sự cố cho tiến trình OSPFv3 và khởi động lại nhiều lần, khiến thiết bị bị ảnh hưởng phải tải lại và dẫn đến tình trạng tấn công từ chối dịch vụ.
Lỗ hổng NX-OS thứ hai mà Cisco giải quyết cũng có thể bị khai thác để gây ra tình trạng tấn công từ chối dịch vụ định danh CVE-2022-20824, lỗ hổng nằm trong tính năng Cisco Discovery Protocol và cũng ảnh hưởng đến phần mềm FXOS.
Bắt nguồn từ việc kiểm soát không đầy đủ trong thông báo Cisco Discovery Protocol, lỗ hổng có thể bị khai thác bằng cách gửi các gói Discovery Protocol độc hại đến một thiết bị. Khai thác thành công cho phép tin tặc thực thi mã tùy ý với đặc quyền root hoặc làm cho tiến trình của Cisco Discovery Protocol gặp sự cố và khởi động lại nhiều lần, điều này sẽ khiến thiết bị bị ảnh hưởng phải tải lại, dẫn đến tình trạng tấn công từ chối dịch vụ.
Cisco đã phát hành các bản cập nhật phần mềm để giải quyết các lỗ hổng này và khuyến nghị khách hàng sử dụng Cisco Software Checker để kiểm tra các bản cập nhật cho FXOS hoặc NX-OS nhằm khắc phục các sự cố.
Hãng cũng đã giải quyết CVE-2022-20921, một lỗ hổng leo thang đặc quyền với mức độ nghiêm trọng cao trong quá trình triển khai API của ACI Multi-Site Orchestrator (MSO) do việc ủy quyền không đúng trên một API cụ thể.
Theo đó, tin tặc được xác thực bằng các đặc quyền không phải của quản trị viên có thể sử dụng các yêu cầu HTTP được chế tạo đặc biệt để khai thác lỗ hổng và nâng cao đặc quyền lên cấp quản trị viên.
Các phiên bản Cisco ACI MSO 3.1, 3.0 hoặc cũ hơn bị ảnh hưởng bởi lỗ hổng này. ACI MSO phiên bản 3.1 (1n) được phát hành để giải quyết vấn đề này. ACI MSO phiên bản 3.2 không bị ảnh hưởng.
M.H
15:00 | 16/09/2022
14:00 | 30/09/2022
16:00 | 01/11/2022
12:00 | 12/08/2022
13:00 | 27/04/2022
16:00 | 02/11/2022
10:00 | 16/12/2022
14:00 | 03/03/2022
08:00 | 22/12/2024
Do để lộ thông tin cá nhân của hàng triệu người dùng trong sự cố bảo mật năm 2017, Meta bị Liên minh châu Âu đưa ra án phạt với số tiền lên tới 251 triệu EUR (tương đương 263 triệu USD).
15:00 | 12/12/2024
Sáng ngày 12/12/2024 tại Hà Nội, dưới sự bảo trợ của Bộ Thông tin và Truyền thông, Hiệp hội An toàn thông tin Việt Nam phối hợp cùng Cục An toàn thông tin tổ chức lễ công bố và trao tặng danh hiệu "Chìa khóa vàng 2024". Chương trình nhằm vinh danh các doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin đã có nhiều nỗ lực, từng bước khẳng định những ưu thế về chất lượng và khả năng đáp ứng thị trường của sản phẩm, dịch vụ an toàn thông tin Việt Nam.
16:00 | 29/11/2024
Ngày 21/11, Bộ Thông tin và Truyền thông phối hợp với Hiệp hội An toàn thông tin Việt Nam (VNISA) và Cục An toàn thông tin tổ chức thành công Hội thảo - Triển lãm “Ngày An toàn thông tin Việt Nam 2024”. Công ty Mi2 đã đồng hành cùng chương trình với cương vị là Nhà tài trợ Bạc cùng Trellix mang đến những giải pháp bảo mật hệ thống thông tin trước tình hình tấn công có chủ đích APT cho các tổ chức, doanh nghiệp tại Việt Nam.
13:00 | 14/11/2024
Công ty chuyên về bảo mật dữ liệu Fortanix (Hoa Kỳ) và Sectigo (Hoa Kỳ) nhà cung cấp giải pháp an ninh mạng toàn cầu mới đây vừa công bố hợp tác chiến lược nhằm nâng cao bảo mật chuỗi cung ứng phần mềm thông qua việc cấp chứng chỉ ký mã tự động.
Vào tháng 11/2024, Mi2 chính thức trở thành nhà phân phối độc quyền các sản phẩm của Blancco tại Việt Nam. Là công ty dẫn đầu toàn cầu về giải pháp xóa dữ liệu an toàn, Blancco mang đến cho các tổ chức/doanh nghiệp giải pháp bảo mật vượt trội, đáp ứng mọi tiêu chuẩn quốc tế về tẩy xoá dữ liệu.
13:00 | 13/01/2025