सीईआरटी-इन को सिस्को उत्पादों में कई कमजोरियां मिलीं

नई दिल्ली: भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन), जो इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के अंतर्गत आती है, ने नेटवर्किंग दिग्गज सिस्को उत्पादों में दो गंभीर कमजोरियों पर एक सलाह जारी की है जो हमलावरों को विशेषाधिकारों को बढ़ाने की अनुमति दे सकती है। अंतर्निहित ऑपरेटिंग सिस्टम.CERT-In ने अपने नवीनतम में कहा, कंपनी के उत्पाद 'ConfD CLI' में बताई गई कमजोरियां प्रमाणित, कम-विशेषाधिकार प्राप्त, स्थानीय हमलावर को "रूट के रूप में मनमानी फ़ाइलों को पढ़ने और लिखने या अंतर्निहित ऑपरेटिंग सिस्टम पर रूट करने के लिए विशेषाधिकारों को बढ़ाने की अनुमति दे सकती हैं"। सलाह.जब विशिष्ट सीएलआई कमांड का उपयोग किया जाता है तो अनुचित प्राधिकरण प्रवर्तन के कारण कॉन्फडी सीएलआई में 'मनमाना फ़ाइल पढ़ने और लिखने की भेद्यता' मौजूद होती है।

साइबर एजेंसी ने कहा, "एक हमलावर गढ़े गए तर्कों के साथ प्रभावित सीएलआई कमांड को निष्पादित करके इस भेद्यता का फायदा उठा सकता है।"इसमें यह भी उल्लेख किया गया है कि इस भेद्यता का सफल शोषण "हमलावर को रूट उपयोगकर्ता के विशेषाधिकारों के साथ अंतर्निहित ऑपरेटिंग सिस्टम पर मनमानी फ़ाइलों को पढ़ने या लिखने की अनुमति दे सकता है"।जब विशिष्ट सीएलआई कमांड का उपयोग किया जाता है तो गलत विशेषाधिकार असाइनमेंट के कारण प्रभावित उत्पाद में दूसरी भेद्यता 'विशेषाधिकार वृद्धि' मौजूद होती है।साइबर एजेंसी के अनुसार, एक हमलावर प्रभावित सीएलआई कमांड को निष्पादित करके इस भेद्यता का फायदा उठा सकता है। इसके अलावा, CERT-In ने उपयोगकर्ताओं को सिस्को द्वारा जारी उचित अपडेट लागू करने की सलाह दी।