Af Eskil Sørensen, 07/06/21
Cisco har udsendt rettelser for at håndtere fejl i hhv. Webex Player, SD-WAN-software og ASR 5000-serie, hvoraf nogle af fejlene i Webex Webex Player til Windows og macOS er alvorlige med en score på 7,8 på CVSS-skalaen. Det skriver Security Week ligesom CISA også har en meddelelse om fejlene.
En af fejlene (CVE-2021-1526) er et problem med ’memory corruption’, der kan misbruges til at afvikle vilkårlig kode på et berørt system. Fejlen kan misbruges gennem rigget Webex Recording Format (WRF) filer.
To andre fejl (CVE-2021-1502 og CVE-2021-1503) - er ligeledes fejl med ’memory corruption’, der påvirker både Webex Network Recording Player og Webex Player på både Windows og macOS. Begge kunne udnyttes til at afvikle vilkårlig kode på et berørt system.
Fejlene er behandlet i Webex Network Recording Player, og Webex Player-udgivelser 41.4 og nyere.
Cisco har også annonceret patch til SD-WAN-software, hvis fejl (CVE-2021-1528) kan udnyttes til at få forhøjede privilegier på et sårbart system. Fejlen påvirker SD-WAN version 20.4 og 20.5 (vBond Orchestrator, vEdge Cloud og vEdge Routers, vManage og vSmart Controller) og blev adresseret med frigivelsen af SD-WAN version 20.4.2 og 20.5.1.
Endelig er der programrettelser til et par sårbarheder i ASR 5000-seriens software (StarOS), der kan udnyttes til at omgå godkendelse og udføre CLI-kommandoer på en berørt maskine. Den vigtigste af disse fejl er CVE-2021-1539 (CVSS-score på 8,1).
Cisco opfordrer brugerne til at opdatere til patchede versioner af hvert produkt så hurtigt som muligt. Cisco er ikke bekendt med, at fejlene udnyttes i angreb.
Links:
https://www.securityweek.com/cisco-plugs-high-risk-security-flaws-webex-sd-wan
https://tools.cisco.com/security/center/publicationListing.x