CVE-2025-20333 ಮತ್ತು CVE-2025-20362 ಅನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಹೊಸ ಫೈರ್ವಾಲ್ ದಾಳಿಯ ಬಗ್ಗೆ ಸಿಸ್ಕೋ ಎಚ್ಚರಿಕೆ ನೀಡಿದೆ.
Document Index Blocks
ಸಿಸ್ಕೋ ಬುಧವಾರ ಬಹಿರಂಗಪಡಿಸಿದ ಪ್ರಕಾರ, CVE-2025-20333 ಮತ್ತು CVE-2025-20362 ಗೆ ಒಳಗಾಗುವ ಸಿಸ್ಕೋ ಸೆಕ್ಯುರ್ ಫೈರ್ವಾಲ್ ಅಡಾಪ್ಟಿವ್ ಸೆಕ್ಯುರಿಟಿ ಅಪ್ಲಯನ್ಸ್ (ASA) ಸಾಫ್ಟ್ವೇರ್ ಮತ್ತು ಸಿಸ್ಕೋ ಸೆಕ್ಯುರ್ ಫೈರ್ವಾಲ್ ಥ್ರೆಟ್ ಡಿಫೆನ್ಸ್ (FTD) ಸಾಫ್ಟ್ವೇರ್ ಬಿಡುಗಡೆಗಳನ್ನು ರನ್ ಮಾಡುತ್ತಿರುವ ಡಿವೈಸ್ಗಳನ್ನು ಟಾರ್ಗೆಟ್ ಮಾಡಲು ಡಿಸೈನ್ ಆಗಿರುವ ನ್ಯೂ ಅಟ್ಯಾಕ್ ವೇರಿಯಂಟ್ ಬಗ್ಗೆ ತಿಳಿದಿದೆ. “ಈ ಅಟ್ಯಾಕ್ ಅನ್ಪ್ಯಾಚ್ಡ್ ಡಿವೈಸ್ಗಳನ್ನು ಅನ್ಎಕ್ಸ್ಪೆಕ್ಟೆಡ್ಗೆ ರೀಬೂಟ್ ಮಾಡಿಸಬಹುದು, ಇದು ಸರ್ವೀಸ್ ಡಿನೈಯಲ್ (DoS) ಕಂಡಿಷನ್ಗಳಿಗೆ ಕಾರಣವಾಗಬಹುದು” ಎಂದು ಕಂಪನಿ ಅಪ್ಡೇಟೆಡ್ ಅಡ್ವೈಸರಿನಲ್ಲಿ ಹೇಳಿದ್ದು, ಕಸ್ಟಮರ್ಗಳು ಎಎಸ್ಎಪಿ ಪ್ಯಾಚ್ಗಳನ್ನು ಅಪ್ಲೈ ಮಾಡಲು ಒತ್ತಾಯಿಸಿದೆ.
ಎರಡೂ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಸೆಪ್ಟೆಂಬರ್ 2025 ಕೊನೆಯಲ್ಲಿ ಬಹಿರಂಗಪಡಿಸಲಾಗಿತ್ತು, ಆದರೆ ಯುಕೆ ನ್ಯಾಷನಲ್ ಸೈಬರ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್ (NCSC) ಪ್ರಕಾರ, RayInitiator ಮತ್ತು LINE VIPER ಮ್ಯಾಲ್ವೇರ್ ಡೆಲಿವರಿ ಅಟ್ಯಾಕ್ಗಳಲ್ಲಿ ಜೀರೋ-ಡೇ ಆಗಿ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಆಗುವ ಮೊದಲು ಅಲ್ಲ. CVE-2025-20333 ನ ಸಕ್ಸೆಸ್ಫುಲ್ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಕ್ರಾಫ್ಟೆಡ್ HTTP ರಿಕ್ವೆಸ್ಟ್ಗಳ ಮೂಲಕ ರೂಟ್ ಆಗಿ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಟ್ ಮಾಡಲು ಅಲಾವ್ ಮಾಡುತ್ತದೆ, CVE-2025-20362 ಅನ್ಆಥೆಂಟಿಕೇಟೆಡ್ ಆಗಿ ರೆಸ್ಟ್ರಿಕ್ಟೆಡ್ URL ಆಕ್ಸೆಸ್ ಎನೇಬಲ್ ಮಾಡುತ್ತದೆ.
ಸಿಸ್ಕೋ ಯುನಿಫೈಡ್ ಕಾಂಟ್ಯಾಕ್ಟ್ ಸೆಂಟರ್ ಎಕ್ಸ್ಪ್ರೆಸ್ (Unified CCX) ನಲ್ಲಿ ಎರಡು ಕ್ರಿಟಿಕಲ್ ಸೆಕ್ಯುರಿಟಿ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಫಿಕ್ಸ್ ಮಾಡಿದಾಗ ಈ ಅಪ್ಡೇಟ್ ಬಂದಿದೆ, ಇದು ಅನ್ಆಥೆಂಟಿಕೇಟೆಡ್ ರಿಮೋಟ್ ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಫೈಲ್ ಅಪ್ಲೋಡ್, ಆಥೆಂಟಿಕೇಷನ್ ಬೈಪಾಸ್, ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಷನ್ ಮತ್ತು ರೂಟ್ ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಷನ್ ಅಲಾವ್ ಮಾಡುತ್ತದೆ. ನೆಟ್ವರ್ಕಿಂಗ್ ಇಕ್ವಿಪ್ಮೆಂಟ್ಗಳ ಪ್ರಮುಖ ಸೆಕ್ಯುರಿಟಿ ರಿಸರ್ಚರ್ ಜಹ್ಮೆಲ್ ಹ್ಯಾರಿಸ್ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಡಿಸ್ಕವರ್ ಮತ್ತು ರಿಪೋರ್ಟ್ ಮಾಡಿದ್ದಕ್ಕಾಗಿ ಕ್ರೆಡಿಟ್ ಪಡೆದಿದ್ದಾರೆ.
ಯುನಿಫೈಡ್ ಸಿಸಿಎಕ್ಸ್ನ ಜಾವಾ ರಿಮೋಟ್ ಮೆಥಡ್ ಇನ್ವೊಕೇಷನ್ (ಆರ್ಎಂಐ) ಪ್ರೊಸೆಸ್ನಲ್ಲಿ CVE-2025-20354 (ಸಿವಿಎಸ್ಎಸ್ ಸ್ಕೋರ್: 9.8) ವಲ್ನರಬಿಲಿಟಿ ಇದ್ದು, ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಫೈಲ್ ಅಪ್ಲೋಡ್ ಮತ್ತು ವಿಕ್ಟಿಮ್ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ರೂಟ್ ಪರ್ಮಿಷನ್ಗಳೊಂದಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಟ್ ಮಾಡಲು ಅಲಾವ್ ಮಾಡುತ್ತದೆ. ಸಿಸಿಎಕ್ಸ್ ಎಡಿಟರ್ ಅಪ್ಲಿಕೇಷನ್ನಲ್ಲಿ ಸಿವಿಇ-2025-20358 (ಸಿವಿಎಸ್ಎಸ್ ಸ್ಕೋರ್: 9.4) ವಲ್ನರಬಿಲಿಟಿ ಇದ್ದು, ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಆಥೆಂಟಿಕೇಷನ್ ಬೈಪಾಸ್ ಮಾಡಿ ಅಂಡರ್ಲೈಯಿಂಗ್ ಓಎಸ್ನಲ್ಲಿ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಕ್ರಿಯೇಟ್ ಮತ್ತು ಎಕ್ಸಿಕ್ಯೂಟ್ ಮಾಡಲು ಅಡ್ಮಿನ್ ಪರ್ಮಿಷನ್ ಗೇನ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
ಈ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಸಿಸ್ಕೋ ಯುನಿಫೈಡ್ ಸಿಸಿಎಕ್ಸ್ ರಿಲೀಸ್ 12.5 SU3 ಮತ್ತು ಹಿಂದಿನವುಗಳಲ್ಲಿ (12.5 SU3 ES07) ಮತ್ತು ರಿಲೀಸ್ 15.0 ನಲ್ಲಿ (15.0 ES01 ಫಿಕ್ಸ್) ಪರಿಹರಿಸಲಾಗಿದೆ. ಎರಡು ವಲ್ನರಬಿಲಿಟಿಗಳ ಜೊತೆಗೆ, ಐಡೆಂಟಿಟಿ ಸರ್ವೀಸಸ್ ಎಂಜಿನ್ (ISE) ನಲ್ಲಿ ಹೈ ಸೀವಿಯರಿಟಿ ಡಿಒಎಸ್ ಬಗ್ (CVE-2025-20343, CVSS score: 8.6) ಗಾಗಿ ಸಿಸ್ಕೋ ಪ್ಯಾಚ್ ರಿಲೀಸ್ ಮಾಡಿದೆ, ಇದು ಅನ್ಆಥೆಂಟಿಕೇಟೆಡ್ ರಿಮೋಟ್ ಅಟ್ಯಾಕರ್ಗಳು ಅನ್ಎಕ್ಸ್ಪೆಕ್ಟೆಡ್ ರೀಸ್ಟಾರ್ಟ್ ಕಾರಣವಾಗಬಹುದು.
“ಈಗಾಗಲೇ ರಿಜೆಕ್ಟ್ ಆದ ಎಂಡ್ಪಾಯಿಂಟ್ನ ಎಂಎಸಿ ಅಡ್ರೆಸ್ಗಾಗಿ ರೇಡಿಯಸ್ ಆಕ್ಸೆಸ್ ರಿಕ್ವೆಸ್ಟ್ ಪ್ರೊಸೆಸ್ ಮಾಡುವಾಗ ಲಾಜಿಕ್ ಎರರ್ನಿಂದ ಈ ವಲ್ನರಬಿಲಿಟಿ ಉಂಟಾಗಿದೆ” ಎಂದು ಸಿಸ್ಕೋ ಹೇಳಿದೆ. “ಅಟ್ಯಾಕರ್ಗಳು ಸಿಸ್ಕೋ ISE ಮಲ್ಟಿಪಲ್ ಕ್ರಾಫ್ಟೆಡ್ ರೇಡಿಯಸ್ ಆಕ್ಸೆಸ್ ರಿಕ್ವೆಸ್ಟ್ ಮೆಸೇಜ್ಗಳ ಸ್ಪೆಸಿಫಿಕ್ ಸೀಕ್ವೆನ್ಸ್ ಕಳುಹಿಸುವ ಮೂಲಕ ಈ ವಲ್ನರಬಿಲಿಟಿ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಮಾಡಬಹುದು.” ಮೂರು ಸೆಕ್ಯುರಿಟಿ ವಲ್ನರಬಿಲಿಟಿಗಳಲ್ಲಿ ಯಾವುದನ್ನೂ ವೈಲ್ಡ್ನಲ್ಲಿ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಆಗಿದೆ ಎಂಬ ಪ್ರೂಫ್ ಇಲ್ಲದಿದ್ದರೂ, ಪ್ರಾಪರ್ ಪ್ರೊಟೆಕ್ಷನ್ಗಾಗಿ ಯೂಸರ್ಗಳು ಎಎಸ್ಎಪಿ ಅಪ್ಡೇಟ್ಗಳನ್ನು ಅಪ್ಲೈ ಮಾಡುವುದು ಎಸೆನ್ಷಿಯಲ್.
ಸಿಸ್ಕೋ ಯುನಿಫೈಡ್ ಕಾಂಟ್ಯಾಕ್ಟ್ ಸೆಂಟರ್ ಎಕ್ಸ್ಪ್ರೆಸ್ (Unified CCX) ನಲ್ಲಿ ಎರಡು ಕ್ರಿಟಿಕಲ್ ಸೆಕ್ಯುರಿಟಿ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಫಿಕ್ಸ್ ಮಾಡಿದಾಗ ಈ ಅಪ್ಡೇಟ್ ಬಂದಿದೆ, ಇದು ಅನ್ಆಥೆಂಟಿಕೇಟೆಡ್ ರಿಮೋಟ್ ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಫೈಲ್ ಅಪ್ಲೋಡ್, ಆಥೆಂಟಿಕೇಷನ್ ಬೈಪಾಸ್, ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಷನ್ ಮತ್ತು ರೂಟ್ ಪ್ರಿವಿಲೇಜ್ ಎಸ್ಕಲೇಷನ್ ಅಲಾವ್ ಮಾಡುತ್ತದೆ. ನೆಟ್ವರ್ಕಿಂಗ್ ಇಕ್ವಿಪ್ಮೆಂಟ್ಗಳ ಪ್ರಮುಖ ಸೆಕ್ಯುರಿಟಿ ರಿಸರ್ಚರ್ ಜಹ್ಮೆಲ್ ಹ್ಯಾರಿಸ್ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಡಿಸ್ಕವರ್ ಮತ್ತು ರಿಪೋರ್ಟ್ ಮಾಡಿದ್ದಕ್ಕಾಗಿ ಕ್ರೆಡಿಟ್ ಪಡೆದಿದ್ದಾರೆ.
ಯುನಿಫೈಡ್ ಸಿಸಿಎಕ್ಸ್ನ ಜಾವಾ ರಿಮೋಟ್ ಮೆಥಡ್ ಇನ್ವೊಕೇಷನ್ (ಆರ್ಎಂಐ) ಪ್ರೊಸೆಸ್ನಲ್ಲಿ CVE-2025-20354 (ಸಿವಿಎಸ್ಎಸ್ ಸ್ಕೋರ್: 9.8) ವಲ್ನರಬಿಲಿಟಿ ಇದ್ದು, ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಫೈಲ್ ಅಪ್ಲೋಡ್ ಮತ್ತು ವಿಕ್ಟಿಮ್ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ರೂಟ್ ಪರ್ಮಿಷನ್ಗಳೊಂದಿಗೆ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಕಮಾಂಡ್ ಎಕ್ಸಿಕ್ಯೂಟ್ ಮಾಡಲು ಅಲಾವ್ ಮಾಡುತ್ತದೆ. ಸಿಸಿಎಕ್ಸ್ ಎಡಿಟರ್ ಅಪ್ಲಿಕೇಷನ್ನಲ್ಲಿ ಸಿವಿಇ-2025-20358 (ಸಿವಿಎಸ್ಎಸ್ ಸ್ಕೋರ್: 9.4) ವಲ್ನರಬಿಲಿಟಿ ಇದ್ದು, ಅಟ್ಯಾಕರ್ಗಳಿಗೆ ಆಥೆಂಟಿಕೇಷನ್ ಬೈಪಾಸ್ ಮಾಡಿ ಅಂಡರ್ಲೈಯಿಂಗ್ ಓಎಸ್ನಲ್ಲಿ ಅನ್ಕಂಟ್ರೋಲ್ಡ್ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಕ್ರಿಯೇಟ್ ಮತ್ತು ಎಕ್ಸಿಕ್ಯೂಟ್ ಮಾಡಲು ಅಡ್ಮಿನ್ ಪರ್ಮಿಷನ್ ಗೇನ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ.
ಈ ವಲ್ನರಬಿಲಿಟಿಗಳನ್ನು ಸಿಸ್ಕೋ ಯುನಿಫೈಡ್ ಸಿಸಿಎಕ್ಸ್ ರಿಲೀಸ್ 12.5 SU3 ಮತ್ತು ಹಿಂದಿನವುಗಳಲ್ಲಿ (12.5 SU3 ES07) ಮತ್ತು ರಿಲೀಸ್ 15.0 ನಲ್ಲಿ (15.0 ES01 ಫಿಕ್ಸ್) ಪರಿಹರಿಸಲಾಗಿದೆ. ಎರಡು ವಲ್ನರಬಿಲಿಟಿಗಳ ಜೊತೆಗೆ, ಐಡೆಂಟಿಟಿ ಸರ್ವೀಸಸ್ ಎಂಜಿನ್ (ISE) ನಲ್ಲಿ ಹೈ ಸೀವಿಯರಿಟಿ ಡಿಒಎಸ್ ಬಗ್ (CVE-2025-20343, CVSS score: 8.6) ಗಾಗಿ ಸಿಸ್ಕೋ ಪ್ಯಾಚ್ ರಿಲೀಸ್ ಮಾಡಿದೆ, ಇದು ಅನ್ಆಥೆಂಟಿಕೇಟೆಡ್ ರಿಮೋಟ್ ಅಟ್ಯಾಕರ್ಗಳು ಅನ್ಎಕ್ಸ್ಪೆಕ್ಟೆಡ್ ರೀಸ್ಟಾರ್ಟ್ ಕಾರಣವಾಗಬಹುದು.
“ಈಗಾಗಲೇ ರಿಜೆಕ್ಟ್ ಆದ ಎಂಡ್ಪಾಯಿಂಟ್ನ ಎಂಎಸಿ ಅಡ್ರೆಸ್ಗಾಗಿ ರೇಡಿಯಸ್ ಆಕ್ಸೆಸ್ ರಿಕ್ವೆಸ್ಟ್ ಪ್ರೊಸೆಸ್ ಮಾಡುವಾಗ ಲಾಜಿಕ್ ಎರರ್ನಿಂದ ಈ ವಲ್ನರಬಿಲಿಟಿ ಉಂಟಾಗಿದೆ” ಎಂದು ಸಿಸ್ಕೋ ಹೇಳಿದೆ. “ಅಟ್ಯಾಕರ್ಗಳು ಸಿಸ್ಕೋ ISE ಮಲ್ಟಿಪಲ್ ಕ್ರಾಫ್ಟೆಡ್ ರೇಡಿಯಸ್ ಆಕ್ಸೆಸ್ ರಿಕ್ವೆಸ್ಟ್ ಮೆಸೇಜ್ಗಳ ಸ್ಪೆಸಿಫಿಕ್ ಸೀಕ್ವೆನ್ಸ್ ಕಳುಹಿಸುವ ಮೂಲಕ ಈ ವಲ್ನರಬಿಲಿಟಿ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಮಾಡಬಹುದು.” ಮೂರು ಸೆಕ್ಯುರಿಟಿ ವಲ್ನರಬಿಲಿಟಿಗಳಲ್ಲಿ ಯಾವುದನ್ನೂ ವೈಲ್ಡ್ನಲ್ಲಿ ಎಕ್ಸ್ಪ್ಲಾಯಿಟ್ ಆಗಿದೆ ಎಂಬ ಪ್ರೂಫ್ ಇಲ್ಲದಿದ್ದರೂ, ಪ್ರಾಪರ್ ಪ್ರೊಟೆಕ್ಷನ್ಗಾಗಿ ಯೂಸರ್ಗಳು ಎಎಸ್ಎಪಿ ಅಪ್ಡೇಟ್ಗಳನ್ನು ಅಪ್ಲೈ ಮಾಡುವುದು ಎಸೆನ್ಷಿಯಲ್.
讨论 Discussion Pipe Matrix
ಕಾಮೆಂಟ್ಗಳು
ಕಾಮೆಂಟ್ ಪೋಸ್ಟ್ ಮಾಡಿ