查看原文
其他

思科 DNA Center设备存在三个严重漏洞 可遭远程控制

Shaun Nichols 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队


思科发布更新解决了 DNA(数字网络架构,Digital Network ArchitectureCenter设备中的三个严重漏洞。

思科表示,思科直销给用户的网络管理和管理员盒子 DNA Center 中存在三个漏洞,其中每个漏洞皆可导致设备遭远程控制。

其中最严重的可能是设备中存在的静态管理员凭证。显然,攻击者只要拥有这些凭证,就能完全轻松接管目标设备。

思科解释称,“该漏洞产生的原因是,受影响软件的默认管理员账户存在未记录的静态用户凭证。漏洞如遭利用,则可导致攻击者登录受影响系统并以跟权限执行任意命令。”

这是让思科头疼且尴尬的一个问题。3月,Switchzilla 被指在 IOS 平台上遗留静态凭证,而近年来另外一些网络设备中被指存在硬编码密码。

如果你的设备上并不存在静态管理员凭证,那么 DNA Center 也可遭 CVE-2018-0271 攻击。

该漏洞因不良 URL 处理而存在,它可导致攻击者将攻击代码内嵌到 URL 字段中并绕过能“访问关键服务”的登录控制。

此外,思科还修复了 DNA Center 在处理 Kubernetes 容器中存在的漏洞 CVE-2018-0268。该漏洞可导致攻击者绕过容器实例本身内部的安全保护措施。

思科警告称,“能够访问 Kubernetes 服务端口的攻击者将以提升后的权限在所提供的容器中执行命令。成功利用该漏洞可导致受影响容易被完全攻陷。”

思科正在通过主板系统更新工具为三个漏洞问题推出更新。管理员应升级至版本 1.1.3 以确保问题已修复。



关联阅读

思科 IOS 缺陷问题导致罗克韦尔自动化交换机易遭攻击

思科 SMI 协议中又现缺陷 美国关键基础设施已遭攻击

思科软件中被曝出现严重高危的硬编码漏洞


原文链接

https://www.theregister.co.uk/2018/05/16/cisco_dna_update/


本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存