کمیته رکن چهارم – شرکت سیسکو در بهروزرسانیها اخیر خود آسیبپذیریهای موجود در چارچوب سرویس اولترا و کنترلر سرویس الاستیک را با درجهی اهمیت حیاتی وصله کرده است. مشاورهنامههایی که این شرکت روز چهارشنبه بهطور عمومی منتشر کرده، دو آسیبپذیری حیاتی و دو آسیبپذیری با درجهی اهمیت بالا را در بستر سرویس اولترا وصله کرده است. این سرویس چارچوبی متحرک نرمافزار محور است که برای اپراتورهای شبکهی تلفن همراه طراحی شده است.
یک مهاجم احراز هویت نشده و راه دور میتواند از این آسیبپذیریها بهرهبرداری کرده و دستورات شِل دلخواه خود را مانند کاربر ریشه در لینوکس اجرا کند. آسیبپذیری در چارچوب سرویس اولترا به دلیل مشکلاتی در پیکربندی بهوجود آمده که برای دسترسی غیرمجاز به سامانهی هدف میتواند مورد بهرهبرداری قرار بگیرد.
مهاجمان با بهرهبرداری از آسیبپذیریهای درجه بالا میتوانند بر روی کنترلر سرویس الاستیک به گواهینامههای مدیریتی دسترسی داشته و اطلاعات حساس را از روی سامانهی آسیبپذیر بخواند. هرکدام از این آسیبپذیریها توسط خود سیسکو کشف شده و شواهدی مبنی بر بهرهبرداری از آنها در دنیای واقعی وجود ندارد. همچنین به کاربران توصیه شده تا بهروزرسانیهای منتشرشده را نصب کنند چرا که راهحلی برای جلوگیری از این تهدیدات وجود ندارد.
آسیبپذیریهای مورد نظر در محصولات سیسکو دارای شناسههای CVE-۲۰۱۷-۶۷۱۴ ،CVE-۲۰۱۷-۶۷۱۱ ،CVE-۲۰۱۷-۶۷۰۹ ،CVE-۲۰۱۷-۶۷۰۸ ،CVE-۲۰۱۷-۶۷۱۳ و CVE-۲۰۱۷-۶۷۱۲ هستند. شرکت سیسکو همچنین از یک آسیبپذیری تزریق دستور در CLI هشدار داده است. بهرهبرداری از این آسیبپذیری به دسترسی محلی و احراز هویت بر روی سامانهی هدف نیاز دارد.
