В системах связи Mimosa Networks обнаружены критические уязвимости
Предупреждение о выявлении семи опасных уязвимостей в системах связи подразделения телекоммуникационной компании Airspan Networks Mimosa Networks опубликовало Агентство по кибербезопасности и защите инфраструктуры США (CISA), 4 февраля сообщает американский портал новостей об информационных технологиях ZDNet.
Уязвимости получили рейтинг опасности CVSS от 6,5 до 10 баллов из 10. Причем три из семи уязвимостей имеют максимальной рейтинг опасности. Отмечается, что уязвимости легко эксплуатировать, а успешная атака позволяет украсть пользовательские данные, выполнить произвольный код и совершить ряд других опасных операций.
Ошибки с кодами CVE-2022-21196, CVE-2022-21141 и CVE-2022-21215 имеют максимальный рейтинг опасности. Они могут быть использованы для проведения атаки типа отказ в обслуживании, удаленному выполнению кода злоумышленника и доступу к закрытым методам программного интерфейса (API) системы управления сетями Mimosa Management Platform (MMP) и других продуктов.
Уязвимость CVE-2022-21143 с рейтингом 9,8 из 10 позволяет атакующему выполнять произвольные команды из-за отсутствия должного контроля передаваемых пользователем данных. По аналогичной причине возникла уязвимость CVE-2022-21176 с рейтингом 8,6. Она позволяет использовать инъекции в запросы к системе управления базами данных (СУБД) с целью кражи пользовательских данных.
Другие уязвимости имеют меньшую опасность, но могут быть использованы для успешных атак.
В CISA пока не выявили случаев успешного применения описанных уязвимостей. Тем не менее, в агентстве рекомендуют как можно быстрее обновить встроенное программное обеспечение продуктов PTP C5x/C5c и PTMP C-series/A5x до версии 2.9.0 и более поздних, а MMP до версии 1.0.4 или более свежей.