अद्यतन: सीवीएसएस गंभीरता स्कोर पर कमजोरियाँ 10 तक जाती हैं।
सीआईएसए ने एयरस्पैन नेटवर्क मिमोसा में गंभीर कमजोरियों के बारे में चेतावनी दी है, जिनमें से कुछ ने 10 की सीवीएसएस गंभीरता स्कोर रेटिंग अर्जित की है, जो कि उच्चतम संभव है।
ZDNET की सिफारिश की
सर्वोत्तम सुरक्षा कुंजी
जबकि मजबूत पासवर्ड आपके मूल्यवान ऑनलाइन खातों को सुरक्षित रखने में मदद करते हैं, हार्डवेयर-आधारित दो-कारक प्रमाणीकरण उस सुरक्षा को अगले स्तर पर ले जाता है।
अभी पढ़ेंजब सुरक्षा कमजोरियाँ गंभीर होती हैं, और जिन उत्पादों पर उनका प्रभाव पड़ता है वे प्रमुख उद्योगों के संचालन के लिए लोकप्रिय या महत्वपूर्ण होते हैं, तो यू.एस. साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) यह सुनिश्चित करने के लिए अक्सर सलाह जारी करेगी कि वे आईटी प्रशासकों के ध्यान तक पहुंचें सुरक्षा कर्मचारी।
गुरुवार को सीआईएसए ने ऐसा जारी किया एक सलाह एयरस्पैन नेटवर्क मिमोसा के लिए। छुई मुई पॉइंट-टू-मल्टीपॉइंट (पीटीएमपी) नेटवर्क परिनियोजन के लिए औद्योगिक और उद्यम खिलाड़ियों को उपकरण पेश किए जाते हैं।
एडवाइजरी में सात कमजोरियों को शामिल किया गया है, जिसमें 6.5 से 10.0 तक सीवीएसएस वी3 बेस स्कोर अर्जित करने वाले बगों का विवरण दिया गया है।
कमजोरियों से प्रभावित एयरस्पैन नेटवर्क उत्पाद v1.0.3 से पहले के मिमोसा प्रबंधन प्लेटफ़ॉर्म (एमएमपी) हैं; पीटीपी सी-सीरीज़ डिवाइस चल रहे हैं v2.8.6.1 से पहले का फ़र्मवेयर, और PTMP C-सीरीज़ और A5x दोनों डिवाइस v2.5.4.1 से नीचे फ़र्मवेयर चला रहे हैं। बाद में कमजोरियों का समाधान कर लिया गया है संस्करण.
भी: ऑपरेशन ईमेलथीफ़: ज़िम्ब्रा ईमेल प्लेटफ़ॉर्म में शून्य-दिन XSS भेद्यता का पता चला
क्लैरोटी के नोम मोशे ने सुरक्षा मुद्दों की सूचना दी, जिनके बारे में कहा जाता है कि इनका दूर से ही दोहन किया जा सकता है और इनमें हमले की जटिलता कम होती है।
"इन कमजोरियों का सफल शोषण एक हमलावर को उपयोगकर्ता डेटा (संगठन विवरण सहित) और अन्य संवेदनशील डेटा प्राप्त करने की अनुमति दे सकता है डेटा, मिमोसा के AWS क्लाउड EC2 इंस्टेंस और S3 बकेट से समझौता करें और सभी क्लाउड-कनेक्टेड मिमोसा उपकरणों पर अनधिकृत रिमोट कोड निष्पादित करें," CISA कहते हैं.
कमजोरियाँ नीचे हैं:
- सीवीई-2022-21196 (सीवीएसएस 10.0): प्रमाणीकरण जांच करने में विफलताओं के कारण एक अनुचित प्राधिकरण दोष कई एपीआई मार्गों पर, जिससे सेवा से इनकार, सूचना लीक और रिमोट कोड निष्पादन होता है (आरसीई)।
- सीवीई-2022-21141 (सीवीएसएस 10.0): एपीआई कार्यों पर प्राधिकरण जांच करने में अतिरिक्त विफलताएं, जिससे समान आक्रमण वैक्टर होते हैं।
- सीवीई-2022-21215 (सीवीएसएस 10.0): एक सर्वर-साइड अनुरोध जालसाजी (एसएसआरएफ) दोष जिसका उपयोग एक हमलावर द्वारा सर्वर को बैकएंड एपीआई तक पहुंच प्रदान करने के लिए मजबूर करने के लिए किया जा सकता है।
- सीवीई-2022-21176 (सीवीएसएस 8.6): एसक्यूएल कमांड में तत्वों का अनुचित न्यूट्रलाइजेशन। उपयोगकर्ता इनपुट स्वच्छता की कमी से SQL इंजेक्शन और डेटा लीक हो सकता है।
- सीवीई-2022-0138 (सीवीएसएस 7.5): एक डिसेरिएलाइज़ेशन फ़ंक्शन डेटा इनपुट को ठीक से मान्य या जांच नहीं करता है, जिससे मनमानी कक्षाएं बनाई जा सकती हैं।
- सीवीई-2022-21143 (सीवीएसएस 9.8): कुछ क्षेत्रों में उपयोगकर्ता इनपुट को ठीक से साफ नहीं किया गया है, जिससे हमलावरों को मनमाने आदेशों को निष्पादित करने का अवसर मिलता है।
- सीवीई-2022-21800 (सीवीएसएस 6.5): उत्पाद लाइन पासवर्ड हैशिंग के लिए एमडी5 एल्गोरिदम का उपयोग करती है लेकिन हैश को नमक करने में विफल रहती है, जिससे संवेदनशील डेटा के क्रैकिंग प्रयासों के प्रति संवेदनशील होने का अधिक जोखिम होता है।
इस बात का कोई सबूत नहीं है कि जंगल में कमजोरियों का फायदा उठाया गया है। एयरस्पैन नेटवर्क्स अनुशंसा करता है कि ग्राहक MMP v.1.0.4 या बाद के संस्करण, PTP C5x/C5c (v2.90 या बाद के संस्करण), और PTMP C-सीरीज़/A5x v.2.9.0 या बाद के संस्करण में अपग्रेड करें।
जनवरी में, CISA ने अपनी ज्ञात शोषित कमजोरियाँ सूची को अद्यतन किया 13 नई कमजोरियाँ. कुल मिलाकर, नौ की निवारण तिथि 1 फरवरी थी, और चार की निवारण तिथि 18 जुलाई थी।
बग में नोड.जेएस, एक ड्रूपल के लिए सिस्टम सूचना लाइब्रेरी में एक कमांड इंजेक्शन दोष शामिल है अप्रतिबंधित फ़ाइल अपलोड समस्या, और नागियोस XI ऑपरेटिंग में कमांड इंजेक्शन कमजोरियाँ प्रणाली।
अद्यतन 6.2, 8.36 पूर्वाह्न GMT: एयरस्पैन नेटवर्क्स मिमोसा ने ZDNet को बताया:
“इस मुद्दे की पहचान अगस्त 2021 में एक सुरक्षा भेद्यता अनुसंधान टीम द्वारा की गई थी, और हमारी सुरक्षा घटना प्रतिक्रिया टीम (एसआईआरटी) प्रक्रियाओं के माध्यम से एयरस्पैन को रिपोर्ट की गई थी।
हमने अपने उपयोगकर्ताओं के उपकरणों में फर्मवेयर और सॉफ़्टवेयर अपडेट के माध्यम से इन मुद्दों को तुरंत संबोधित किया और तेजी से हल किया, सर्वर, और एयरस्पैन के क्लाउड प्लेटफ़ॉर्म - सीआईएसए घोषणा और एयरस्पैन सुधार के माध्यम से उचित चैनल के माध्यम से प्रतिक्रिया। [...] सभी सिस्टम महीनों पहले ठीक कर दिए गए थे और उपयोगकर्ताओं को बाद के रिलीज़ में भेद्यता की जानकारी प्रदान की गई थी।"
यह सभी देखें
-
सीआईएसए ने सूची में 13 शोषित कमजोरियां जोड़ीं, जिनमें से 9 फरवरी के साथ हैं। 1 निवारण तिथि
-
सीआईएसए ने चेतावनी दी - "संभावित गंभीर खतरों" से बचाव के लिए अपनी साइबर सुरक्षा को अभी अपग्रेड करें
-
सीआईएसए निदेशक: 'हमने अभी तक Log4j से महत्वपूर्ण घुसपैठ नहीं देखी है।'
क्या आपके पास कोई टिप है? व्हाट्सएप के माध्यम से सुरक्षित रूप से संपर्क में रहें | +447713 025 499 पर सिग्नल, या कीबेस पर: चार्ली0
सुरक्षा
- अत्यधिक सुरक्षित दूरस्थ श्रमिकों की 8 आदतें
- अपने फोन से स्पाइवेयर कैसे ढूंढें और हटाएं
- सर्वोत्तम वीपीएन सेवाएँ: शीर्ष 5 की तुलना कैसे की जाती है?
- कैसे पता करें कि आप डेटा उल्लंघन में शामिल हैं - और आगे क्या करें