Cisco CSPC ma’lumotlar yig’ish tizimidan standart parolni olib tashlashni unutdi.
Paroldan foydalanib, siz tizimga kirishingiz va muhim ma’lumotlarni o’g’irlashingiz mumkin.
Cisco Common Service Platform Collector (CSPC) ma’lumotlarni yig’ish tizimida ruxsatsiz tajovuzkorga Collector va uning bog’liq xostlarida saqlangan maxfiy ma’lumotlarga masofadan kirish imkonini beruvchi standart statik parolga ega hisob qaydnomasi mavjud. Zaiflik (CVE-2019-1723) CVSS balli 9,8 ni tashkil qiladi. Muammo CSPC 2.7.2 dan 2.7.4.5 gacha bo’lgan versiyalariga va 2.8.1.2 dan oldingi barcha 2.8.x versiyalariga ta’sir qiladi. Kompaniya CSPC ga kirish administrator imtiyozlarini bermasligini ta’kidladi. Hozirda ushbu xatodan foydalanish holatlari ma’lum emas.
Yuqorida aytib o’tilgan zaiflikdan tashqari, Cisco yana ikkita mahsulotda jiddiy zaifliklar haqida xabar berdi. Birinchisi (CVE-2018-15460) Cisco IronPort Email Security Appliances (ESA) elektron pochta xavfsizlik yechimida mavjud, ikkinchisi (CVE-2018-0389) esa Cisco Small Business SPA514G IP telefonlariga ta’sir qiladi.
ESA’dagi AsyncOS dasturining elektron pochta filtrlash funksiyasida CVE-2018-15460 mavjud. Muammo oq ro‘yxatga olingan URL manzillarini o‘z ichiga olgan xabarlarni noto‘g‘ri filtrlash tufayli yuzaga keladi. Hujumchi bu zaiflikdan foydalanib, ko‘p sonli oq ro‘yxatga olingan URL manzillarini o‘z ichiga olgan zararli paketni yuborishi va shu bilan qurilmaning ishlamay qolishiga olib kelishi mumkin.
CVE-2018-0389 SIP sessiyasini boshlash protokolini amalga oshirish bilan bog’liq va qurilmada xizmat ko’rsatishning rad etilishiga olib kelishi mumkin. Muammo 7.6.2SR2 va undan oldingi dasturiy ta’minot versiyasiga ega SPA514G IP telefonlariga ta’sir qiladi. Kompaniya mahsulotni qo’llab-quvvatlash tugashi sababli ushbu zaiflik uchun yamoqlarni chiqarishni rejalashtirmayapti. SPA51x, SPA51x va SPA52x seriyali qurilmalar zaif emas.
