مصادقة بطاقات سيسكو ، والحرمان من الخدمة ، وعيوب NTP في العديد من المنتجات

أصدرت شركة Cisco Systems دفعة جديدة من بقع الأمان هذا الأسبوع للعيوب التي تؤثر على نطاق واسع من المنتجات ، بما في ذلك وجود ثغرة أمنية خطيرة في جدر الحماية الأمنية للشبكة اللاسلكية RV220W.

تنبع الضعف RV220W من عدم كفاية التحقق من المدخلات لطلبات HTTP المرسلة إلى واجهة إدارة الويب المستندة إلى جدار الحماية. قد يسمح هذا للمهاجمين غير المصادقين البعيدين بإرسال طلبات HTTP برمز SQL في رؤوسهم التي من شأنها تجاوز المصادقة على الأجهزة المستهدفة وإعطاء الامتيازات الإدارية للمهاجمين.

قامت Cisco بتصحيح هذه الثغرة الأمنية في إصدار البرنامج الثابت 1.0.7.2 لأجهزة RV220W. تتضمن الحلول اليدوية تعطيل وظيفة الإدارة عن بُعد أو تقييدها على عناوين IP محددة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

قامت الشركة أيضًا بتصحيح إنكار الخدمة عالية ومتوسطة الخطورة نقاط الضعف في الأجهزة والوحدات النمطية لخدمة تطبيقات منطقة التخزين (WAAS) من Cisco ، ومفاتيح Cisco Small Business 500 Series والمحول المُدار SG300. تم تصحيح ثغرة البرمجة النصية للمواقع المشتركة أيضًا في واجهة الإدارة المستندة إلى الويب من Cisco Unity Connection.

وأخيرًا ، قامت الشركة باستيراد التصحيحات لـ 12 نقطة ضعف في برنامج Network Time Protocol (ntpd) التي تم إصلاحها في 19 يناير. مؤسسة وقت الشبكة. يمكن استغلال هذه العيوب من قبل المهاجمين لتعديل الوقت على الأجهزة أو تعطل عملية ntpd.

وجود الوقت الصحيح على النظام مهم جدًا لمجموعة متنوعة من التطبيقات ، بما في ذلك العمليات الحساسة للأمان.

The NTP يشتبه في أن العيوب تؤثر على أكثر من 70 منتجًا من منتجات Cisco المستخدمة في منتجات التعاون والشبكات الاجتماعية والشبكات والأمان والتوجيه والتبديل والحوسبة والاتصالات الموحدة والتدفق والترميز والخدمات اللاسلكية والخدمات المستضافة.

قامت الشركة بنشر تحديثات البرامج الثابتة لبعض منها بالإضافة إلى قائمة من المنتجات المتأثرة والتصحيحات المتاحة التي من المحتمل أن يتم تحديثها حيث أنها تطلق المزيد من الإصلاحات.