भारतीय साइबर एजेंसी को सिस्को उत्पादों में कई बग मिले

नई दिल्ली: इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के अंतर्गत आने वाली भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) ने नेटवर्किंग दिग्गज सिस्को उत्पादों में तीन गंभीर कमजोरियों पर एक सलाह जारी की है जो हैकर्स को कंप्यूटर सिस्टम तक पहुंच प्राप्त करने, घुसपैठ करने की अनुमति दे सकती है। और डेटा चुराओ. सिस्को एडेप्टिव सिक्योरिटी एप्लायंस (एएसए) सॉफ्टवेयर और सिस्को फायरपावर थ्रेट डिफेंस (एफटीडी) सॉफ्टवेयर में रिपोर्ट की गई कमजोरियां हमलावरों को रूट-स्तरीय विशेषाधिकारों के साथ अंतर्निहित ऑपरेटिंग सिस्टम पर मनमाने कमांड और कोड को निष्पादित करने की अनुमति दे सकती हैं, डिवाइस को अप्रत्याशित रूप से पुनः लोड करने के लिए, जिसके परिणामस्वरूप इनकार हो सकता है। सेवा की (DoS), CERT-In ने अपनी नवीनतम सलाह में कहा।

रिस्टोर के समय बैकअप फ़ाइल की सामग्री को अनुचित तरीके से साफ किए जाने के कारण रिपोर्ट किए गए सॉफ़्टवेयर में 'कमांड इंजेक्शन भेद्यता' मौजूद है। साइबर एजेंसी ने कहा, "एक हमलावर किसी प्रभावित डिवाइस पर तैयार की गई बैकअप फ़ाइल को पुनर्स्थापित करके इस भेद्यता का फायदा उठा सकता है।" HTTP हेडर को पार्स करते समय अपूर्ण त्रुटि जाँच के कारण एक और 'सेवा अस्वीकरण भेद्यता' मौजूद है। हमलावर इस भेद्यता का उपयोग "डिवाइस पर लक्षित वेब सर्वर पर एक तैयार HTTP अनुरोध भेजकर" कर सकते हैं और सफल शोषण उन्हें "डिवाइस पुनः लोड होने पर DoS स्थिति" पैदा करने की अनुमति दे सकता है। तीसरा, 'कोड निष्पादन भेद्यता' किसी फ़ाइल को सिस्टम फ़्लैश मेमोरी से पढ़ते समय उसके अनुचित सत्यापन के कारण मौजूद होती है। साइबर एजेंसी के अनुसार, एक हमलावर "प्रभावित डिवाइस के डिस्क0: फ़ाइल सिस्टम में तैयार की गई फ़ाइल" की प्रतिलिपि बनाकर इस भेद्यता का फायदा उठा सकता है। इसके अलावा, सीईआरटी-इन ने लोगों को सिस्को द्वारा जारी उचित अपडेट लागू करने की सलाह दी।