思科发布安全公告披露高危漏洞,Cisco DNA Center 软件受到影响
思科发布安全公告披露高危漏洞,Cisco DNA Center 软件受到影响
据外媒报道,思科于本周三发布了 16 项安全警告,其中包括 3 个 CVSSv3 严重程度评分为满分 10 分的高危漏洞,根据思科介绍,这 3 个漏洞分别是思科全数字化网络架构中心(Cisco DNA Center)的一个后门帐户和两个认证系统的 bypass。
Cisco DNA Center 是一款针对企业客户的软件,它提供了一个中央系统,用于在大型网络中设计和部署设备配置。
以下为三个高危漏洞的的具体细节:
CVE-2018-0222
此漏洞是由于受影响软件的默认管理帐户存在未记录的静态用户凭据,攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。目前来说,一次成功的攻击可能允许攻击者登录到受影响的系统并使用 root 权限执行任意命令。
此漏洞影响 Cisco DNA Center 软件 1.1.3 之前的版本。
CVE-2018-0268
该漏洞是 Cisco DNA Center 的容器管理子系统中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并获得提升的权限。
该漏洞是由于 Cisco DNA Center 中 Kubernetes 容器管理子系统的默认配置不安全造成的,有权访问 Kubernetes 服务端口的攻击者可以在提供的容器中使用提升的特权执行命令。成功利用该漏洞可能会导致受影响的容器完全泄露。
此漏洞影响 Cisco DNA Center 软件 1.1.3 及更早版本。
CVE-2018-0271
该漏洞是 Cisco DNA Center 的 API 网关中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并访问关键服务。
该漏洞是由于在服务请求之前无法正常化 URL。攻击者可以通过精心设计的 URL 来利用此漏洞。一次成功的攻击可能会使攻击者获得对关键服务的未经授权的访问,从而导致提升 DNA Center 特权。
此漏洞影响 Cisco DNA Center 软件 1.1.2 之前的版本。
详情请参考思科安全公告: