Cisco đã vá các lỗ hổng trong phần mềm IOS và IOS XE, trong đó có nhiều lỗ hổng được xếp hạng mức độ nghiêm trọng cao như:
CVE-2023-20080 (điểm CVSS 8,6) – Lỗ hổng chuyển tiếp và từ chối dịch vụ của phần mềm Cisco IOS và IOS XE IPv6 DHCP (DHCPv6). Kẻ tấn công từ xa, không được xác thực có thể kích hoạt lỗ hổng gây ra tình trạng DoS.
CVE-2023-20072 (điểm CVSS 8,6) – Lỗ hổng từ chối dịch vụ liên quan đến việc xử lý các gói giao thức Fragmented Tunnel của phần mềm Cisco IOS XE. Kẻ tấn công từ xa, không được xác thực có thể kích hoạt lỗ hổng khiến hệ thống bị ảnh hưởng phải tải lại, dẫn đến tình trạng DoS.
CVE-2023-20027 (điểm CVSS 8,6) – Lỗ hổng từ chối dịch vụ trong quá trình tái lắp ghép các Fragment ảo trong phần mềm Cisco IOS XE. Kẻ tấn công từ xa, không được xác thực có thể khai thác lỗ hổng này để gây ra tình trạng DoS.
Cisco cũng đã vá lỗ hổng chèn lệnh phần mềm IOS XE SD-WAN có mã định danh là CVE-2023-20035 (điểm CVSS 7,8) và lỗ hổng leo thang đặc quyền Application Hosting Environment IOx của phần mềm IOS XE được theo dõi là CVE-2023-20065 (điểm CVSS 7,8).
Cisco cho biết không phát hiện các cuộc tấn công khai thác các lỗ hổng trên. Để giảm thiểu rủi ro, người dùng nên cập nhật phần mềm lên phiên bản mới nhất ngay lập tức.
Nguồn: Securityaffairs