Az új Cisco sebezhetőség az adminokat is megizzasztja
Egy amerikai biztonsági szakértő részletesen bemutatta, hogyan lehet teljes mértékben kihasználni a súlyos Cisco Identity Services Engine (ISE) sérülékenységet (CVE-2025-20281). Ez a hiba lehetővé teszi, hogy illetéktelen támadók távolról, bejelentkezés nélkül tetszőleges fájlokat töltsenek fel a célrendszerre, majd azokat rendszergazdai jogosultsággal futtassák.
Dupla sebezhetőség, kettős veszély
A problémát egy veszélyes deszerializációs és parancsbefecskendezési hiba okozza az enableStrongSwanTunnel() metódusban. Később a Cisco még egy, ehhez kapcsolódó sérülékenységet azonosított (CVE-2025-20337), amelyet az előzővel együtt javítottak. A biztonsági frissítéseket a gyártó a 3.3 Patch 7 és 3.4 Patch 2 verziókban adta ki, és minden adminisztrátort arra kér, hogy haladéktalanul telepítse azokat.
Hogyan törik fel az ISE-t?
A kutató lépésről lépésre mutatja be, hogy egy speciális Java String[] payload feltöltésével hogyan lehet parancsbefecskendezést végrehajtani, majd Java Runtime.exec() környezeti trükkök és ${IFS} karakterek segítségével rendszergazdai jogokkal parancsokat futtatni egy Docker-konténerben. Végül, egy ismert Linux csoport- és release_agent módszert kihasználva, a támadó a hoszt gépet is teljes mértékben átveheti.
Bár egyelőre nincs lefordított, kész támadóprogram, a közzétett technikai részletek alapján gyakorlott támadók könnyen képesek lehetnek újraalkotni a támadást. Kiküszöbölő megoldás nincs, csak a gyártó által biztosított javítócsomagok azonnali telepítése. Ha ez elmarad, a Cisco ISE rendszerek rövid időn belül a támadók kedvenc célpontjaivá válhatnak.
Tizenhárom éve gyűjti a Backblaze a meghajtó-statisztikákat, és ennyi idő alatt bőven akadt mindenféle meglepetés: újdonságok, botrányos hibaarányok és kitartó, stabil teljesítmény...
Sammy Azdoufal, egy kíváncsi techrajongó mindössze annyit szeretett volna, hogy PlayStation 5-ös kontrollert használjon vadonatúj DJI Romo robotporszívójához...
Az eddigi tudományos álláspont szerint a legtöbb bolygórendszerben a kisebb, sziklás bolygók közelebb, míg a hatalmas gázóriások távolabb keringenek a csillagjuktól...
Az amerikai autóipar három nagyágyúja, a General Motors, a Ford és a Stellantis együttesen 18 ezer milliárd forintos, azaz 50 milliárd dolláros veszteséget könyvelhetett el az elektromos autók lufijának kipukkanása miatt...
A Meta nemrég szabadalmat kapott egy olyan fejlesztésre, amely szerint egy nagy nyelvi modell a felhasználó halála után is képes lenne aktívan fenntartani annak online jelenlétét...
🐶 A Super Bowl alatt sugárzott Ring-reklám után az Amazon kénytelen volt visszavonni a tervezett együttműködést a Flock Safety nevű céggel, amely a rendőrség számára is elérhetővé tette volna az MI-vel támogatott, civil Ring kamerahálózatot...
Elon Musk MI-vállalata, az xAI most a Mississippiben épülő adatközpontja miatt került nyomás alá, mivel a NAACP perrel fenyegeti a céget a légszennyezés miatt...
⚠️ Több mint 10 000 macOS-felhasználót vertek át csalók, akik az MI, pontosabban a Claude LLM által generált tartalmakat és Google-hirdetéseket használnak adatlopó kártevők terjesztésére...
Az elmúlt években a Wikipédia, az internet legismertebb enciklopédiája váratlan reneszánszot él meg — miközben sosem volt ekkora nyomás és kockázat alatt...
Az Airbnb észak-amerikai ügyfélszolgálati ügyeinek már körülbelül harmadát mesterséges intelligencia kezeli, és a vállalat hamarosan világszerte bevezeti ezt a megoldást...
⚠ Az amerikai kiberbiztonsági hivatal (CISA) arra kötelezte a szövetségi ügynökségeket, hogy sürgősen foltozzák be a Microsoft Configuration Manager kritikus sebezhetőségét, amelyet 2024 októberében javítottak, de mostanra aktívan kihasználnak támadások során...
A SpaceX az idén tervezett részvénykibocsátását egy kétosztályos részvénystruktúrával készíti elő, amellyel Elon Musk, a cég alapítója, könnyedén biztosíthatja magának a döntéshozatali hatalmat akkor is, ha ténylegesen kisebbségi tulajdonos marad...
Az amerikai Wendy’s gyorsétteremlánc komoly leépítésre készül: 5–6 százalékkal csökkenti az Egyesült Államokban működő étteremszámot, vagyis idén 300–360 üzletet zárhat be...
Nemcsak erkölcsi tanítás kérdése, mennyire vagy nagylelkű; tudósok friss kutatása szerint az agy különböző területeinek összhangja befolyásolhatja, mennyit vagy hajlandó megosztani másokkal — akár saját károdra is...
💉 A WHO határozottan elítélte azt az amerikai finanszírozású kutatást, amely újszülöttektől vonná meg a hepatitis B elleni védőoltást Bissau-Guineában...
🧠 A neandervölgyiek eltűnése évtizedek óta izgatja a tudományos világot. Vajon mi, a modern emberek okoztuk legközelebbi rokonaink pusztulását, vagy már eleve kihalásra voltak ítélve?..
Érdekes felvetés, hogy a halolaj-készítményeket, amelyeket gyakran szednek a rák megelőzésének reményében, valójában nem egyformán hatásosak mindenkinek...
Dél-Korea rekordösszegű, átszámítva több mint 9 milliárd forintos (25 millió USD) bírságot szabott ki a Louis Vuitton, a Christian Dior Couture és a Tiffany márkákra, miután nem biztosították ügyfeleik adatainak védelmét, és így hackerek több mint 5,5 millió vásárló adataihoz fértek hozzá...
A nagy amerikai mobilszolgáltató, a Verizon újabb akadályt gördített azok elé, akik idő előtt szeretnék lezárni részletfizetési konstrukciójukat, majd függetleníteni telefonjukat...
🚲 Santa Monica lesz az első amerikai város, ahol idén tavasszal MI-alapú rendszert vetnek be a parkolásfelügyeletben: áprilistól már hét hivatali autóban is kamerák vadásznak majd a biciklisávot jogtalanul elfoglaló autósokra...
Az OpenAI bemutatta legújabb fejlesztését, a GPT-5.3-Codex-Spark modellt, amely minden eddiginél gyorsabban, másodpercenként 1 000 tokent képes feldolgozni a hatalmas Cerebras-chipeken...
🚀 A közelgő, városméretű „zöld üstökös” hamarosan örökre eltűnik a Naprendszerből. Az üstökös, hivatalos nevén C/2024 E1 (Wierzchos), látványosan fényesedik, ahogy február 17-én eléri Földhöz legközelebbi pontját...
