Mới đây, Cisco đã thông báo cho khách hàng rằng đang có những nỗ lực khai thác một lỗ hổng bảo mật mới ảnh hưởng đến phần mềm IOS XR (một hệ điều hành tự phục hồi và tự bảo vệ được thiết kế để luôn hoạt động trong khi mở rộng dung lượng và thêm các dịch vụ hoặc tính năng mới) của họ.
Lỗ hổng bảo mật có mức nghiêm trọng trung bình với điểm CVSS là 6,5, có thể cho phép kẻ tấn công từ xa, chưa được xác thực truy cập phiên bản Redis (Remote Dictionary Server - Máy chủ từ điển từ xa), đang chạy trong vùng chứa có tên "NOSi."
Cisco cho biết: "Kẻ tấn công có thể khai thác lỗ hổng này bằng cách kết nối với cá thể Redis trên cổng mở. Việc khai thác thành công có thể cho phép kẻ tấn công ghi vào cơ sở dữ liệu trong bộ nhớ của Redis, ghi các tệp tin tùy ý vào hệ thống tệp vùng chứa và truy xuất thông tin về cơ sở dữ liệu Redis".
Tuy nhiên, Cisco lưu ý: "Với cấu hình của vùng chứa sandbox mà phiên bản Redis chạy trong đó, kẻ tấn công từ xa sẽ không thể thực thi mã từ xa hoặc lạm dụng tính toàn vẹn của hệ thống máy chủ phần mềm Cisco IOS XR"
Lỗ hổng bảo mật dường như chỉ ảnh hưởng đến các bộ định tuyến 8000 chạy IOS XR 7.3.3 của Cisco có hoạt động RPM (Round Per Minute) kiểm tra tình trạng. Một bản vá đã được đưa ra trong phiên bản 7.3.4.
Cisco đã cung cấp các hướng dẫn để xác định xem một thiết bị có dễ bị tấn công hay không, cũng như thông tin chi tiết để áp dụng các giải pháp thay thế.
Vào tháng 3, Cơ quan an ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) đã cảnh báo về một số lỗ hổng ảnh hưởng đến một số bộ định tuyến doanh nghiệp nhỏ của Cisco được vá vào tháng 2 cũng bị khai thác trong các cuộc tấn công.
Không có gì lạ khi tội phạm mạng nhắm mục tiêu vào các lỗ hổng trong thiết bị của Cisco, bao gồm cả các lỗ hổng có mức nghiêm trọng trung bình. Vì vậy điều quan trọng là người dùng phải áp dụng các bản vá hoặc giải pháp thay thế càng sớm càng tốt, đặc biệt khi có nguy cơ bị lợi dụng cao./.