思科 DNA Center设备存在三个严重漏洞 可遭远程控制

翻译：360代码卫士团队

思科发布更新解决了 DNA（数字网络架构，Digital Network Architecture）Center设备中的三个严重漏洞。

思科表示，思科直销给用户的网络管理和管理员盒子 DNA Center 中存在三个漏洞，其中每个漏洞皆可导致设备遭远程控制。

其中最严重的可能是设备中存在的静态管理员凭证。显然，攻击者只要拥有这些凭证，就能完全轻松接管目标设备。

思科解释称，“该漏洞产生的原因是，受影响软件的默认管理员账户存在未记录的静态用户凭证。漏洞如遭利用，则可导致攻击者登录受影响系统并以跟权限执行任意命令。”

这是让思科头疼且尴尬的一个问题。3月，Switchzilla 被指在 IOS 平台上遗留静态凭证，而近年来另外一些网络设备中被指存在硬编码密码。

如果你的设备上并不存在静态管理员凭证，那么 DNA Center 也可遭 CVE-2018-0271 攻击。

该漏洞因不良 URL 处理而存在，它可导致攻击者将攻击代码内嵌到 URL 字段中并绕过能“访问关键服务”的登录控制。

此外，思科还修复了 DNA Center 在处理 Kubernetes 容器中存在的漏洞 CVE-2018-0268。该漏洞可导致攻击者绕过容器实例本身内部的安全保护措施。

思科警告称，“能够访问 Kubernetes 服务端口的攻击者将以提升后的权限在所提供的容器中执行命令。成功利用该漏洞可导致受影响容易被完全攻陷。”

思科正在通过主板系统更新工具为三个漏洞问题推出更新。管理员应升级至版本 1.1.3 以确保问题已修复。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。