बीएसआई आईओएस एक्सई के सिस्को वेब यूआई में सक्रिय रूप से शोषण की गई भेद्यता की चेतावनी देता है। CVE-2023-20198 भेद्यता का CVSS स्कोर 10.0 उच्चतम है और इसलिए यह महत्वपूर्ण है। कई स्विच, राउटर और WLAN नियंत्रक खतरे में हैं।
16 अक्टूबर को, सिस्को ने एक अप्रकाशित और सक्रिय रूप से शोषित भेद्यता के संबंध में एक सलाह जारी की IOS XE का वेब यूआई. पहचानकर्ता CVE-2023-20198 के साथ भेद्यता दूरस्थ, अप्रमाणित हमलावरों को प्रभावित सिस्टम पर नए खाते (स्तर 15 एक्सेस अधिकारों के साथ) बनाने की अनुमति देती है। इसलिए हमलावर प्रभावित IOS XE सिस्टम पर नियंत्रण हासिल करने और उन डिवाइसों से समझौता करने में सक्षम होते हैं जिन पर सॉफ़्टवेयर का उपयोग किया जाता है (स्विच, राउटर, WLAN नियंत्रक)। भेद्यता को उच्चतम सीवीएसएस रेटिंग 10.0 ("गंभीर") प्राप्त हुई है।
फिलहाल कोई पैच उपलब्ध नहीं है
प्रभावित IOS XE वाले भौतिक और आभासी उपकरण हैं जिनका वेब इंटरफ़ेस (वेब यूआई) सक्रिय है। यदि उन तक इंटरनेट से पहुंचा जा सकता है तो एक विशेष जोखिम है। वेब इंटरफ़ेस परिनियोजन को सरल बनाने के लिए एक GUI-आधारित सिस्टम प्रबंधन उपकरण है,
सिस्को आईओएस एक्सई सिस्टम का कमीशनिंग और प्रबंधन। यह डिफ़ॉल्ट रूप से वितरित किया जाता है और इसे स्पष्ट रूप से सक्रिय या स्थापित करने की आवश्यकता नहीं है। इंटरफ़ेस कमांड लाइन इंटरफेस का उपयोग किए बिना प्रशासन के लिए एक उपयोगकर्ता-अनुकूल विकल्प का प्रतिनिधित्व करता है। हालाँकि, सिस्को अनुशंसा करता है कि इंटरफ़ेस को इंटरनेट या अविश्वसनीय नेटवर्क से एक्सेस नहीं किया जाना चाहिए।
सुरक्षा व्यवस्थापकों को प्रतिक्रिया देनी होगी
भेद्यता के लिए कोई पैच अभी तक उपलब्ध नहीं है, लेकिन सिस्को आवश्यक शमन उपायों की ओर इशारा करता है। सिस्को ने भी भेद्यता का सक्रिय शोषण देखा है। सिस्को टैलोस की एक पोस्ट में बताया गया है कि भेद्यता पर पहला हमला 18 सितंबर को हुआ था।
आईटी सुरक्षा प्रबंधकों को यथाशीघ्र अपने सिस्को आईओएस की जांच करनी चाहिए वेब इंटरफ़ेस सक्रिय है या नहीं इसकी जांच विभिन्न कमांडों का उपयोग करके की जा सकती है जिन्हें बीएसआई अपनी सुरक्षा चेतावनी में सूचीबद्ध करता है।
BSI.Bund.de पर अधिक
सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) के बारे में सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) संघीय साइबर सुरक्षा प्राधिकरण और जर्मनी में सुरक्षित डिजिटलीकरण का डिज़ाइनर है। मिशन वक्तव्य: बीएसआई, संघीय साइबर सुरक्षा प्राधिकरण के रूप में, राज्य, व्यापार और समाज के लिए रोकथाम, पहचान और प्रतिक्रिया के माध्यम से डिजिटलीकरण में सूचना सुरक्षा को डिजाइन करता है।