思科在DNA Center的3個關鍵安全補丁上發(fā)出警告

admin

思科在DNA Center的3個關鍵安全補丁上發(fā)出警告

兩個最嚴重的安全問題涉及思科數(shù)據(jù)中心網(wǎng)絡管理器（DCNM）

思科為其DNA中心用戶發(fā)布了三個“關鍵”安全警告 - 兩個普通漏洞評分系統(tǒng)評分為9.8分（滿分10分）。

最糟糕的兩個問題涉及思科數(shù)據(jù)中心網(wǎng)絡管理器（DCNM）。 Cisco DNA Center通過使用軟件定義訪問的策略控制訪問，通過思科DNA自動化自動提供，通過思科網(wǎng)絡功能虛擬化（NFV）虛擬化設備，并通過分段和加密流量分析降低安全風險。

在一項咨詢中，思科表示，DCNM基于Web的管理界面中的漏洞可以讓攻擊者通過向受影響設備上可用的特定Web servlet發(fā)送特制的HTTP請求，而無需知道管理用戶密碼，從而獲得有效的會話cookie。該漏洞是由于受影響的DCNM軟件上的會話管理不當造成的。

該漏洞影響版本11.1（1）之前的DCNM軟件版本。思科表示，它已在DCNM軟件版本11.1（1）中完全刪除了受影響的Web servlet。

針對DCNM發(fā)布了另一個嚴重警告，該漏洞允許攻擊者通過將特制數(shù)據(jù)發(fā)送到受影響設備上可用的特定Web servlet，在底層DCNM文件系統(tǒng)上創(chuàng)建任意文件。

思科表示，該漏洞是由受影響的DCNM軟件中的權限設置不正確引起的。成功利用可能允許攻擊者在文件系統(tǒng)上寫入任意文件，并在受影響的設備上以root權限執(zhí)行代碼。

思科表示，在DCNM軟件版本11.0（1）及更早版本中，攻擊者需要通過DCNM基于Web的管理界面進行身份驗證才能利用此漏洞。

第三個漏洞--CVSS評分為9.3--定義了DNA Center中的漏洞，該漏洞可能使未經(jīng)身份驗證的相鄰攻擊者繞過身份驗證并訪問關鍵內(nèi)部服務。攻擊者可以通過將未經(jīng)授權的網(wǎng)絡設備連接到為群集服務指定的子網(wǎng)來利用此漏洞。思科表示，一次成功的攻擊可能會讓攻擊者獲得內(nèi)部服務，而這些內(nèi)部服務并未加強外部訪問。

該公司表示，該漏洞是由于對系統(tǒng)運行所必需的端口的訪問限制不足。

在這種情況下，思科表示，無法升級到固定版本的客戶可以使用解決方法。要協(xié)調(diào)變通方法的實施，請聯(lián)系思科技術支持中心（TAC）。

思科表示已發(fā)布免費軟件更新，以解決這些建議中描述的漏洞。

本周的重要警告將在上周發(fā)布另一個關鍵的DNA中心通知。然后，思科詳細說明了一個關于CVSS評級為9.3的嚴重警告 - 其DNA中心軟件中的漏洞可能會讓未經(jīng)身份驗證的攻擊者通過將未經(jīng)授權的網(wǎng)絡設備連接到指定用于集群服務的子網(wǎng)來利用這一弱點。

思科表示，成功利用攻擊可以讓攻擊者獲得內(nèi)部服務，而這些內(nèi)部服務并未加強外部訪問。該漏洞是由于對系統(tǒng)運行所必需的端口的訪問限制不足，思科在內(nèi)部安全測試期間發(fā)現(xiàn)了這個問題，該公司表示。

此漏洞影響1.3之前的Cisco DNA Center軟件版本，并在1.3版本中修復，之后發(fā)布。

思科寫道，系統(tǒng)更新可從思科云安裝，無法從Cisco.com上的軟件中心下載。要升級到Cisco DNA Center軟件的固定版本，管理員可以使用該軟件的系統(tǒng)更新功能。