思科發布安全公告披露高危漏洞,Cisco DNA Center 軟件受到影響
據外媒報道,思科于本周三發布了 16 項安全警告,其中包括 3 個 CVSSv3 嚴重程度評分為滿分 10 分的高危漏洞,根據思科介紹,這 3 個漏洞分別是思科全數字化網絡架構中心(Cisco DNA Center)的一個后門帳戶和兩個認證系統的 bypass。 Cisco DNA Center 是一款針對企業客戶的軟件,它提供了一個中央系統,用于在大型網絡中設計和部署設備配置。
以下為三個高危漏洞的的具體細節: CNNVD-201805-634(CVE-2018-0222) 此漏洞是由于受影響軟件的默認管理帳戶存在未記錄的靜態用戶憑據,攻擊者可以通過使用該帳戶登錄受影響的系統來利用此漏洞。目前來說,一次成功的攻擊可能允許攻擊者登錄到受影響的系統并使用 root 權限執行任意命令。 此漏洞影響 Cisco DNA Center 軟件 1.1.3 之前的版本。 CNNVD-201805-633(CVE-2018-0268) 該漏洞是 Cisco DNA Center 的容器管理子系統中的漏洞,可能允許未經身份驗證的遠程攻擊者繞過身份驗證并獲得提升的權限。 該漏洞是由于 Cisco DNA Center 中 Kubernetes 容器管理子系統的默認配置不安全造成的,有權訪問 Kubernetes 服務端口的攻擊者可以在提供的容器中使用提升的特權執行命令。成功利用該漏洞可能會導致受影響的容器完全泄露。 此漏洞影響 Cisco DNA Center 軟件 1.1.3 及更早版本。 CNNVD-201805-631(CVE-2018-0271) 該漏洞是 Cisco DNA Center 的 API 網關中的漏洞,可能允許未經身份驗證的遠程攻擊者繞過身份驗證并訪問關鍵服務。 該漏洞是由于在服務請求之前無法正常化 URL。攻擊者可以通過精心設計的 URL 來利用此漏洞。一次成功的攻擊可能會使攻擊者獲得對關鍵服務的未經授權的訪問,從而導致提升 DNA Center 特權。 此漏洞影響 Cisco DNA Center 軟件 1.1.2 之前的版本。 來源:知道創宇
