思科通过其SD-WAN和DNA Center软件包发布了两个关于安全问题的重要警告。
更糟糕的是,通用漏洞评分系统评分为9.3分(满分10分),是其数字网络架构(DNA)中心软件中的一个漏洞,可能会让未经身份验证的攻击者将未经授权的网络设备连接到指定用于群集服务的子网。
思科表示,成功利用攻击可以让攻击者获得内部服务,而这些内部服务并未加强外部访问。思科表示,该漏洞是由于系统运行所需的端口访问限制不足,公司在内部安全测试期间发现了这个问题。
思科DNA中心使IT团队能够使用软件定义访问通过策略控制访问,通过思科DNA自动化自动提供,通过思科网络功能虚拟化(NFV)虚拟化设备,并通过分段和加密流量分析降低安全风险。
此漏洞影响1.3之前的Cisco DNA Center软件版本,并在1.3版本中修复,之后发布。
思科写道,系统更新可从思科云获得,但不能从思科网站上的软件中心获得。要升级到Cisco DNA Center软件的固定版本,管理员可以使用该软件的“系统更新”功能。
第二个严重警告--CVVS评分为7.8 - 是思科SD-WAN解决方案命令行界面的一个弱点,它可以让经过身份验证的本地攻击者将较低级别的权限提升到受影响设备上的root用户。
思科写道,该漏洞是由于授权执行不足造成的。攻击者可以通过向目标设备进行身份验证并执行可能导致权限提升的命令来利用此漏洞。该公司表示,成功的攻击可以让攻击者以root用户身份对系统进行配置更改。
此漏洞影响在发布18.3.6,18.4.1和19.1.0之前运行Cisco SD-WAN解决方案版本的一系列思科产品,包括:
vBond Orchestrator软件
vEdge 100系列路由器
vEdge 1000系列路由器
vEdge 2000系列路由器
vEdge 5000系列路由器
vEdge云路由器平台
vManage网络管理软件
vSmart控制器软件
思科表示已发布免费软件更新,以解决此通报中描述的漏洞。思科写道,它修复了思科SD-WAN解决方案版本18.4.1中的此漏洞。
这两个严重警告被包含在近30个安全建议的转储中。
还有另外两个涉及SD-WAN软件的“高”影响额定警告。
思科写道,其中一个是思科SD-WAN解决方案的vManage基于Web的UI(Web UI)中的漏洞,可以让经过身份验证的远程攻击者在受影响的vManage设备上获得更高的权限。
该漏洞是由于未能在设备配置中正确授权某些用户操作。攻击者可以通过登录vManage Web UI并将精心设计的HTTP请求发送到vManage来利用此漏洞。思科表示,一次成功的攻击可能会让攻击者获得更高的权限,并对通常无权授权的配置进行更改。
vManage基于Web的UI中的另一个漏洞可能会让经过身份验证的远程攻击者注入使用root权限执行的任意命令。
思科写道,这种暴露是由于输入验证不足造成的。攻击者可以通过对设备进行身份验证并向vManage Web UI提交精心设计的输入来利用此漏洞。
这两个漏洞都会影响在版本18.4.0之前运行Cisco SD-WAN解决方案版本的思科vManage网络管理软件,思科已发布免费软件更新以更正它们。
思科披露的其他高评级漏洞包括:
甲漏洞在思科发现协议(CDP)实施思科网真编解码器(TC)和协作端点(CE)软件可能允许未经认证,相邻攻击者注入了由设备执行任意shell命令。
甲弱点在虚拟平台运行的Cisco StarOS操作系统的内部分组处理功能可以允许未经认证的远程攻击者导致受影响的设备停止处理通信,从而导致的服务(DoS)条件的否定。
甲漏洞在Cisco RV110W无线-N VPN防火墙,Cisco RV130W无线-N多功能VPN路由器,和Cisco RV215W无线-N VPN路由器的基于网络的管理接口可以允许未经认证的远程攻击者导致受影响的重新加载设备,导致拒绝服务(DoS)条件。
思科还发布了针对这些建议的软件修复程序。
下一条: 2019年世界上最快的10台超级计算机