Cisco, IOS XR işletim sistemindeki güvenlik açıklarına ilişkin güvenlik önerileri yayınladı. Saldırganlar, hizmet reddi saldırılarını kullanarak ayrıcalıkları artırabilir veya hizmetleri sekteye uğratabilir. Ayrıca Cisco'nun iletişim merkezi ürünleri, siteler arası komut dosyası çalıştırma güvenlik açıklarından etkilenmektedir.
Duyurudan sonra devamını okuyun
Ağ ekipmanı üreticisi Cisco, yerel kimliği doğrulanmış saldırganların komutları kök olarak yürütmesine veya tam kontrolü ele geçirmesine olanak tanıdığı için IOS XR güvenlik açıklarının en ciddi güvenlik açıkları olduğunu düşünüyor. Bunun nedenleri arasında komut satırı komutlarındaki parametreler için yetersiz filtreleme yer alır (CVE-2026-20040, CVSS 8.8risk”yüksek“) veya komutların görev gruplarına yanlış eşlenmesi, bu görev gruplarına yönelik kontrollerin göz ardı edilmesine neden olur (CVE-2026-20046, CVSS) 8.8risk”yüksek“). Cisco'nun güvenlik danışmanlığı, doğru yazılım sürümlerini ve diğer ayrıntıları listeler.
Ek olarak Cisco, Orta Sistemden Orta Sisteme (IS-IS) çoklu örnek yönlendirme özelliğindeki ilgili güncellemelerle (CVE-2026-20074, CVSS) hizmet reddi güvenlik açığına ilişkin bir öneri yayınladı. 7.4risk”yüksekBaşka bir güvenlik notu, Çıkış Paket Ağ Arayüzü'nün (EPNI) “Hizalayıcı Kesintisi”ndeki bir güvenlik açığını giderir. Ağ saldırganları, ağ işlemcisine ve ASIC'e yönelik hizmet reddi saldırıları için de bunu kötüye kullanabilir (CVE-2026-20118, CVSS 6.8risk”ortaAncak CVSS sınıflandırmasından farklı olarak Cisco bunu yüksek bir tehdit seviyesi olarak değerlendiriyor.
Cisco Contact Center'daki bir güvenlik açığı daha
Ek olarak Cisco, başka bir güvenlik duyurusunda, iletişim merkezi ürünleri Finesse, Paketlenmiş İletişim Merkezi Kurumsal (Paketlenmiş CCE), Unified Contact Center Enterprise (Birleşik CCE), Unified Contact Center Express (Birleşik CCX) ve Cisco Unified Intelligence Center'daki siteler arası komut dosyası oluşturma güvenlik açıkları konusunda uyarıyor. Saldırganlar, ağdan kimlik doğrulaması yapmadan arayüz kullanıcılarına karşı siteler arası komut dosyası çalıştırma deliklerini kötüye kullanabilir; örneğin sunucu tarafı istek sahteciliği (SSRF) saldırısı (CVE-2026-20116, CVE-2026-20117, CVSS) 6.1risk”orta“).
Bahsedilen tüm güvenlik tavsiyeleriyle ilgili olarak Cisco, mevcut bilgi düzeyine göre bunların henüz İnternet'te saldırıya uğramadığını yazıyor. Ancak BT yöneticilerinin tereddüt etmemesi ve sunulan güncellemeleri hızlı bir şekilde uygulaması gerekmektedir.
Geçen hafta Cisco, diğerlerinin yanı sıra Güvenli Güvenlik Duvarı Yönetim Merkezi ve Webex için güncellemeler yayınladı. Geliştiriciler böylece daha fazla güvenlik açığını kapattılar.
Duyurudan sonra devamını okuyun
(Bilmiyorum)
Bir yanıt yazın