События

В ПО Cisco DNA Center обнаружен бэкдор

В среду, 16 мая, Cisco опубликовала ряд предупреждений об уязвимостях в решениях компании, в том числе описывающих три проблемы в программном обеспечении Cisco Digital Network Architecture (DNA) Center. Уязвимости получили наивысший рейтинг опасности (10 баллов из 10) по шкале CVSSv3.

Первую уязвимость ( CVE-2018-0222 ) компания описывает как «недокументированные статические учетные данные для дефолтной учетной записи администратора», то есть, по сути, бэкдор. Производитель не раскрыл установленные по умолчанию логин и пароль, но отметил, что атакующий может получить доступ с привилегиями суперпользователя на целевых системах. Поскольку методов предотвращения эксплуатации уязвимости не существует, пользователям рекомендуется как можно оперативнее установить патчи, устраняющие бэкдор.

Вторая уязвимость ( CVE-2018-0268 ) затрагивает встроенную в DNA Center подсистему управления контейнерами Kubernetes и предоставляет возможность обойти механизм аутентификации. Атакующий с возможностью доступа к служебному порту Kubernetes может выполнить команды с повышенными привилегиями и полностью скомпрометировать контейнеры. Как и в предыдущем случае, способов предотвратить эксплуатацию уязвимости не существует.

Третья проблема ( CVE-2018-0271 ) представляет собой уязвимость обхода аутентификации в API шлюзе DNA Center. Согласно сообщению производителя, уязвимость «существует из-за отсутствия должной нормализации URL до запросов на обслуживание». Злоумышленники может проэксплуатировать данную проблему с помощью специально сформированного URL, получить неавторизованный доступ к критическим службам и таким образом повысить свои права в DNA Center.

Все вышеописанные уязвимости исправлены с выпуском версии DNA Center 1.1.3.

Cisco DNA – программная архитектура для цифровых сетей, призванная значительно упростить и ускорить работу IT-инфраструктуры. DNA Center – система управления сетью, полностью охватывающая процессы, связанные с конфигурированием и проектированием сети, а также связанные с разнообразными политиками и исполнениями.

Нормализация URL (или канонизация URL) – процесс, при котором URL приводится к единообразному виду. Цель процесса нормализации заключается в преобразовании URL в нормализованный или канонический вид, с тем, чтобы определить эквивалентность двух синтаксически различных URL-адресов.

Источник

Автор: Сергей Куприянов
17.05.2018 (13:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.