Cisco kompaniýasy AnyConnect Secure Mobility Client programma üpjünçiliginde we RV110W, RV130, RV130W we RV215W kiçi telekeçilik üçin niýetlenen marşrutizatorlarynda 67 sany örän howply gowşaklyklary düzetdi.

Iň howply gowşaklyk satyjylar tarapyndan iş-seljeriş amala aşyrmak ýa-da müşderiniň tejribesini degişli ýerde seljermek üçin ulanylýan Cisco Connected Mobile Experiences (CMX) programma çözgüdi bilen baglanyşykly bolup durýar. Çözgüt söwdagäriň Wi-Fi torundan köp mukdarda maglumat ýygnamak, şol sanda müşderleriniň şol wagtda ýerleşýän ýerini yzarlamak üçin Cisco simsiz infrastrukturasyny ulanýar.

Gowşaklyk (CVE-2021-1144) gizlin açar sözi üýtgetmek üçin awtorlaşdyrmak barlaglarynyň nädogry işlenmegi bilen baglanyşykly bolup, gowşaklyga CVSS-yň görkezijisi boýunça 8,8 derejesi berildi.

«Administratiw hukugy bolmadyk we autentifikasiýa barlagyndan geçen ýaramaz niýetli ulanyjy gowşak enjama üýtgedilen HTTP ýüzlenmäni ibermek arkaly bu gowşaklykdan peýdalanyp bilýär. Bu gowşaklyk şowly ulanylan ýagdaýynda,  ulgamda islendik ulanyjynyň, şol sanda administrator hukugy bilen gizlin açar sözleri üýtgetmäge we soňra bu ulanyjynyň adyndan ulgamda işlemäge mümkinçilik berýär,» - diýip hünärmenler habar berýär.

Gowşaklyk Cisco CMX programma üpjünçiliginiň 10.6.0, 10.6.1 we 10.6.2 wersiýalaryna täsir edýär, bu gowşaklyk Cisco CMX 10.6.3 we soňky çykan wersiýalarynda düzedildi.

Ýene-de bir örän howply gowşaklyk (CVE-2021-1237) Windows ulgamy üçin niýetlenen we köp sanly howpsuzlyk hyzmatlary (uzaklykdan rugsat, web howpsuzlyk funksiýalary we rouming goragy) bilen üpjün edýän Cisco AnyConnect Secure Mobility Client programma üpjünçiliginde saklanýar.

RV110W, RV130, RV130W we RV215W Cisco Small Business marşrutizarolary dolandyrmak boýunça web-interfeýsinde  jemi 60 sany gowşaklyk ýüze çykaryldy, bu gowşaklyklar uzaklykdan awtorlaşdyrylan ýaramaz niýetli ulanyjy üçin erkin kod ýerine ýetirmek ýa-da duýdansyz ýagdaýda enjamyň öçüp, täzeden açylmagyna getirmek mümkinçiligini berýär, bu bolsa ulgamda «hyzmat etmekden ýüz öwürmek» ýagdaýyny  getirip bilýär.

RV110W, RV130, RV130W we RV215W Cisco  Small Business marşrutizarolarynda ýene bäş sany gowşaklyk (CVE-2021-1146, CVE-2021-1147, CVE-2021-1148, CVE-2021-1149 we CVE-2021-1150) ýüze çykaryldy. Bu gowşaklyklaryň ulanylmagy awtorlaşdyrylan ýaramaz niýetli ulanyjy üçin uzaklykdan superuser hukuklary bilen erkin buýruklary girizmek mümkinçiligini berip bilýär.

Howpsuzlyk täzelenmeleri barada has giňişleýin maglumaty aşakda görkezilen Cisco kompaniýanyň howpsuzlyk maslahatlarynda tapmak mümkin:

•    AnyConnect Secure Mobility Client cisco-sa-anyconnect-dll-injec-pQnryXLf

•    Cisco  Connected Mobile Experiences cisco-sa-cmxpe-75Asy9k

•    Cisco Small Business RV110W, RV130, RV130W, and RV215W routers cisco-sa-rv-command-inject-LBdQ2KRN

•    Small Business RV110W, RV130, RV130W, and RV215W routers cisco-sa-rv-overflow-WUnUgv4U

Çeşme: securitylab.ru