Cisco, Wireless LAN Controller yazılımında tespit edilen zafiyet için güncelleme yayınladı. CVE-2022-20695 olarak izlenen sorun, ciddiyet açısından 10 üzerinden 10 olarak derecelendirilmiş durumda ve bir saldırganın kimlik doğrulama kontrollerini atlamasına ve WLC’nin yönetim arayüzü aracılığıyla cihazda oturum açmasına olanak tanıyor.
Cisco, yaptığı açıklamada “Bu güvenlik açığı, parola doğrulama algoritmasının yanlış uygulanmasından kaynaklanıyor” dedi. “Bir saldırgan, etkilenen bir cihazda hazırlanmış kimlik bilgileriyle oturum açarak bu güvenlik açığından yararlanabilir.” dedi. Zafiyetin başarılı bir şekilde kullanılması, bir saldırganın yönetici ayrıcalıkları kazanmasına ve savunmasız sistemin tamamen ele geçirilmesine izin verecek şekilde kötü niyetli eylemler gerçekleştirmesine izin verebilir.
Cisco WLC Yazılım Sürümü 8.10.151.0 veya Sürüm 8.10.162.0’ı çalıştırıyorsa ve macfilter radius compatibility diğer olarak yapılandırılmışsa aşağıdaki ürünleri etkilediğini vurguladı.
- 3504 Wireless Controller
- 5520 Wireless Controller
- 8540 Wireless Controller
- Mobility Express, and
- Virtual Wireless Controller (vWLC)
Kullanıcıların kusuru gidermek için 8.10.171.0 sürümüne güncellemeleri önerilir. Cisco Kablosuz LAN Denetleyicisi 8.9 ve önceki sürümlerinin yanı sıra 8.10.142.0 ve önceki sürümleri zafiyetten etkilenmediği belirtild.
Kaynak: thehackernews.com
