সিসকো ক্ষতিগ্রস্থতা CVE-2018-0375। জেডএলএএন পার্টনার্স
নেটওয়ার্কিং এবং সুরক্ষা হার্ডওয়্যার প্রস্তুতকারক, সিসকো , গত পাঁচ মাসে সিসকো পলিসি স্যুটটির জন্য এটি তার পঞ্চম প্রধান ব্যাকডোর দুর্বলতায় পড়েছে। সিসকো এমন একটি সংস্থা যা পরিষেবা সরবরাহকারী এবং উদ্যোগগুলির জন্য নেটওয়ার্কিং সলিউশন তৈরি করতে বিশেষজ্ঞ। এটি সংস্থাগুলিকে নেটওয়ার্ক-হস্তক্ষেপকারী কমান্ডগুলির মাধ্যমে গ্রাহকরা ও কর্মচারীরা কীভাবে কোম্পানির নেটওয়ার্ক পরিষেবাগুলি ব্যবহার করে তা নিয়ন্ত্রণ, নিয়ন্ত্রণ এবং পর্যবেক্ষণ করতে দেয় যা ব্যবহারকারীর অনলাইন ক্রিয়াকলাপের ডেটা অ্যাক্সেস, পর্যবেক্ষণ এবং সংগ্রহ করে। এই তথ্য সরবরাহকারী সংস্থা দ্বারা নিয়ন্ত্রিত এক কেন্দ্রীয় প্রশাসকের মাধ্যমে অ্যাক্সেসযোগ্য এবং ইন্টারনেট ব্যবহারের ক্ষেত্রে কোম্পানির নীতিগুলি যেমন নির্দিষ্ট ওয়েবসাইটগুলি ব্লক করা এই সিস্টেমের মাধ্যমে প্রয়োগ করা হয়। সিসকো যে সফ্টওয়্যারটি ইচ্ছাকৃতভাবে রেখেছিল তাতে কর্পোরেশনগুলির দ্বারা সম্পূর্ণ এবং দক্ষ সিস্টেম মনিটরিংয়ের অনুমতি দেওয়ার জন্য এই জাতীয় নেটওয়ার্ক-অনুপ্রবেশ বৈশিষ্ট্য অন্তর্ভুক্ত রয়েছে। তবে, যদি প্রশাসকের শংসাপত্রগুলি আপোষ করা হয় বা কোনও দূষিত বহিরাগত লোক কমান্ড সেন্টারে অ্যাক্সেস অর্জন করতে সক্ষম হয় তবে সে ব্যবহারকারীদের ক্রিয়াকলাপে সম্পূর্ণ অ্যাক্সেস পেয়ে এবং তাদের ডোমেনগুলি নিয়ন্ত্রণ করতে সক্ষম হয়ে নেটওয়ার্কের সর্বত্র বিপর্যয় ডেকে আনতে পারে / তিনি বেছে নেন। এটিই সিসকো এর ঝুঁকিতে ছিল CVE-2018-0375 (বাগ আইডি: CSCvh02680 ) যা অভূতপূর্ব প্রাপ্ত হয়েছিল সিভিএসএস সম্ভাব্যতার মধ্যে 9.8 এর তীব্রতা র্যাঙ্কিং 10 সিসকো দ্বারা পরিচালিত অভ্যন্তরীণ সুরক্ষা পরীক্ষার মাধ্যমে দুর্বলতাটি আবিষ্কার করা হয়েছিল।
বিষয়টি সম্পর্কে সিসকোর রিপোর্ট 18 জুলাই, 2018 এ 1600 ঘন্টা GMT তে প্রকাশিত হয়েছিল এবং উপদেষ্টাটি 'সিসকো-সা-20180718-পলিসি-সেমি-ডিফল্ট-পিএসউউআরডি' শনাক্তকরণের লেবেলে রাখা হয়েছিল। প্রতিবেদনের সংক্ষিপ্তসারটি ব্যাখ্যা করেছে যে সিসকো পলিসি স্যুটের ক্লাস্টার ম্যানেজারের (18.2.0 প্রকাশের পূর্বে) দুর্বলতা বিদ্যমান ছিল এবং এটি সফ্টওয়্যারটিতে এম্বেড থাকা মূল অ্যাকাউন্টে অননুমোদিত দূরবর্তী হ্যাকারকে প্রবেশ করার অনুমতি দেওয়ার সম্ভাবনা ছিল। রুট অ্যাকাউন্টটির ডিফল্ট শংসাপত্র রয়েছে, এটিকে ম্যানিপুলেশন হওয়ার ঝুঁকিতে ফেলে, যা কোনও হ্যাকার নেটওয়ার্ক অ্যাক্সেস পেতে এবং পুরো প্রশাসকের অধিকার নিয়ে এটি নিয়ন্ত্রণ করতে ব্যবহার করতে পারে।
সিসকো প্রতিষ্ঠিত করেছে যে এটি একটি মৌলিক দুর্বলতা এবং এই ইস্যুটির জন্য কোনও কার্যকারিতা নেই। সুতরাং, সংস্থাটি 18.2.0 সংস্করণে ফ্রি প্যাচ প্রকাশ করেছে এবং তাদের পণ্য ব্যবহারকারীদের তাদের নেটওয়ার্ক সিস্টেমগুলি প্যাচ সংস্করণে আপডেট হয়েছে কিনা তা নিশ্চিত করতে উত্সাহিত করা হয়েছিল। এই মৌলিক দুর্বলতা ছাড়াও, 24 অন্যান্য দুর্বলতা এবং বাগ নতুন আপডেটে সিসকো ওয়েবেক্স নেটওয়ার্ক রেকর্ডিং প্লেয়ার্স রিমোট কোড এক্সিকিউশন ভুবনরবিলিটিস এবং সিসকো এসডি-ওএন সলিউশন সালিশি ফাইলটি ওভাররাইট দুর্বলতার অন্তর্ভুক্ত করা হয়েছিল update
সিস্টেমটি আপ টু ডেট রয়েছে তা নিশ্চিত করার জন্য প্রশাসকরা সম্পর্কে.শ কমান্ডটি প্রবেশ করে ডিভাইস সিএলআইতে তাদের ডিভাইসগুলি পরীক্ষা করার জন্য অনুরোধ করা হচ্ছে। এটি প্রশাসনিক ব্যবহারকারীর সংস্করণ এবং এটিতে কোনও প্যাচ প্রয়োগ করা হয়েছে কিনা সে সম্পর্কে আউটপুট সরবরাহ করবে। 18.2.0 এর নীচে কোনও সংস্করণ ব্যবহার করে যে কোনও ডিভাইস দুর্বল হয়ে পড়েছে। এর মধ্যে মোবাইল ফোন, ট্যাবলেট, ল্যাপটপ এবং অন্যান্য কোনও ডিভাইস অন্তর্ভুক্ত রয়েছে যা কোনও এন্টারপ্রাইজ সিস্কো ব্যবহার করে নিরীক্ষণ করে।
24.2 দুর্বলতা এবং বাগগুলি সংস্করণ 18.2.0 আপডেটে অন্তর্ভুক্ত। সিসকো / অ্যাপলিউস