Cisco Güvenlik Güncelleştirmeleri Squash Router Hatalar

Cisco sekiz güvenlik güncelleştirmesi yayımladı. Yönlendiricilere güç sağlamak için kullanılan Internet İşletim Sistemi (IOS) yazılımı.

Cisco, daha önce iki yıllık IOS güncellemeleri için planladığı gün Çarşamba günü yayınlandı. Hataların hiçbiri Çarşamba günkü güncellemelerinden önce kamuya açıklanmamıştı, ancak bir kısmı dış kaynaklarla Cisco'ya bildirilmişti.

Saldırganların çoğu saldırgan tarafından bir yönlendiriciye hizmet vermeyi kesintiye uğratmak ya da bir şekilde bozmak için kullanıldı. Cisco, belirli, hassas hizmetin etkinleştirildiğini söyledi.

[Daha fazla okuma: Medya akışı ve yedekleme için en iyi NAS kutuları]

Örneğin, Cisco, SSLVPN (Secure Sockets Layer Virtual Private Network) yazılımında iki hata tespit etti. Cihazı çökertmek için kullanılabilir. Saldırganlar, özel olarak hazırlanmış bir HTTPS paketini yönlendiriciye göndererek bu hatalardan birini kullanabilir. Hata, şirketin ASA 5500 cihazının veya Cisco IOS XR veya XE yazılımının kullanıcılarını etkilemez, ancak

SSLVPN, şirket güvenlik duvarı dışındaki kullanıcıların bir Web tarayıcısı kullanarak şirketlerine özel VPN yazılımı yüklemek yerine şirket ağına erişmesine izin verir.

Başka bir ciddi hata, ağ üzerinden dosya aktarımlarına izin vermek için kullanılan Güvenli Kopyalama Protokolü'nü (SCP) etkinleştirmiş olanları etkiler. Cisco, bu hatadan ötürü, cihazdaki kimliği doğrulanmış bir kullanıcının, "kullanıcıların ne yapmaya yetkili olduklarından bağımsız olarak, bir SCP sunucusu olarak yapılandırılmış bir Cisco IOS aygıtına dosya aktarımı yapabildiğini" belirtti. Cisco, kullanıcının bir yönlendiricinin yapılandırma dosyalarını karıştırmasına veya şifrelere göz atmasına izin verebilir. Bu hata şirketin Kevin Graham tarafından Cisco'ya bildirildi.

Güncellemelerle ilgili daha fazla bilgi burada bulunabilir.

Cisco'nun bir sonraki IOS yamaları seti 23 Eylül’den kaynaklanacak.