思科在DNA Center的3個(gè)關(guān)鍵安全補(bǔ)丁上發(fā)出警告

admin

思科在DNA Center的3個(gè)關(guān)鍵安全補(bǔ)丁上發(fā)出警告

兩個(gè)最嚴(yán)重的安全問題涉及思科數(shù)據(jù)中心網(wǎng)絡(luò)管理器（DCNM）

思科為其DNA中心用戶發(fā)布了三個(gè)“關(guān)鍵”安全警告 - 兩個(gè)普通漏洞評(píng)分系統(tǒng)評(píng)分為9.8分（滿分10分）。

最糟糕的兩個(gè)問題涉及思科數(shù)據(jù)中心網(wǎng)絡(luò)管理器（DCNM）。 Cisco DNA Center通過使用軟件定義訪問的策略控制訪問，通過思科DNA自動(dòng)化自動(dòng)提供，通過思科網(wǎng)絡(luò)功能虛擬化（NFV）虛擬化設(shè)備，并通過分段和加密流量分析降低安全風(fēng)險(xiǎn)。

在一項(xiàng)咨詢中，思科表示，DCNM基于Web的管理界面中的漏洞可以讓攻擊者通過向受影響設(shè)備上可用的特定Web servlet發(fā)送特制的HTTP請(qǐng)求，而無需知道管理用戶密碼，從而獲得有效的會(huì)話cookie。該漏洞是由于受影響的DCNM軟件上的會(huì)話管理不當(dāng)造成的。

該漏洞影響版本11.1（1）之前的DCNM軟件版本。思科表示，它已在DCNM軟件版本11.1（1）中完全刪除了受影響的Web servlet。

針對(duì)DCNM發(fā)布了另一個(gè)嚴(yán)重警告，該漏洞允許攻擊者通過將特制數(shù)據(jù)發(fā)送到受影響設(shè)備上可用的特定Web servlet，在底層DCNM文件系統(tǒng)上創(chuàng)建任意文件。

思科表示，該漏洞是由受影響的DCNM軟件中的權(quán)限設(shè)置不正確引起的。成功利用可能允許攻擊者在文件系統(tǒng)上寫入任意文件，并在受影響的設(shè)備上以root權(quán)限執(zhí)行代碼。

思科表示，在DCNM軟件版本11.0（1）及更早版本中，攻擊者需要通過DCNM基于Web的管理界面進(jìn)行身份驗(yàn)證才能利用此漏洞。

第三個(gè)漏洞--CVSS評(píng)分為9.3--定義了DNA Center中的漏洞，該漏洞可能使未經(jīng)身份驗(yàn)證的相鄰攻擊者繞過身份驗(yàn)證并訪問關(guān)鍵內(nèi)部服務(wù)。攻擊者可以通過將未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接到為群集服務(wù)指定的子網(wǎng)來利用此漏洞。思科表示，一次成功的攻擊可能會(huì)讓攻擊者獲得內(nèi)部服務(wù)，而這些內(nèi)部服務(wù)并未加強(qiáng)外部訪問。

該公司表示，該漏洞是由于對(duì)系統(tǒng)運(yùn)行所必需的端口的訪問限制不足。

在這種情況下，思科表示，無法升級(jí)到固定版本的客戶可以使用解決方法。要協(xié)調(diào)變通方法的實(shí)施，請(qǐng)聯(lián)系思科技術(shù)支持中心（TAC）。

思科表示已發(fā)布免費(fèi)軟件更新，以解決這些建議中描述的漏洞。

本周的重要警告將在上周發(fā)布另一個(gè)關(guān)鍵的DNA中心通知。然后，思科詳細(xì)說明了一個(gè)關(guān)于CVSS評(píng)級(jí)為9.3的嚴(yán)重警告 - 其DNA中心軟件中的漏洞可能會(huì)讓未經(jīng)身份驗(yàn)證的攻擊者通過將未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備連接到指定用于集群服務(wù)的子網(wǎng)來利用這一弱點(diǎn)。

思科表示，成功利用攻擊可以讓攻擊者獲得內(nèi)部服務(wù)，而這些內(nèi)部服務(wù)并未加強(qiáng)外部訪問。該漏洞是由于對(duì)系統(tǒng)運(yùn)行所必需的端口的訪問限制不足，思科在內(nèi)部安全測(cè)試期間發(fā)現(xiàn)了這個(gè)問題，該公司表示。

此漏洞影響1.3之前的Cisco DNA Center軟件版本，并在1.3版本中修復(fù)，之后發(fā)布。

思科寫道，系統(tǒng)更新可從思科云安裝，無法從Cisco.com上的軟件中心下載。要升級(jí)到Cisco DNA Center軟件的固定版本，管理員可以使用該軟件的系統(tǒng)更新功能。