思科数据中心网络管理器现三大身份泄露漏洞 用户需尽快应用软件更新

近日,思科数据中心网络管理器出现了严重的多重身份严重漏洞问题,上周四,思科发布声明表示,所有用户都必须要应用其发布的软件更新,该问题目前还没有解决办法。

漏洞会影响Windows、Linux和虚拟设备平台上早于11.3(1)版本的DCNM。DCNM是思科统一架构的管理系统。它为数据中心操作人员提供了一个仪表板,以配置、监视和排除网络基础设施故障。

更新的软件主要旨在修复三个漏洞,这些漏洞在10分制通用漏洞评分系统(Common Vulnerability Scoring System)中得到了9.8的评分。远程攻击者可以利用这些安全漏洞绕过身份验证,在受影响的系统上获得管理特权。

思科称,这些漏洞并不关联,受其中某个漏洞影响的DCNM软件版本不一定受其他漏洞的影响。

漏洞详情

尽管这三个漏洞彼此之间没有关联,但它们都可以被未经身份验证的远程攻击者利用来绕过身份验证。其中两个是由于安装之间共享的静态加密密钥:

  • CVE-2019-15975影响REST API端点。据思科称,“攻击者可以利用此漏洞使用静态密钥创建有效的会话令牌。成功利用该漏洞可以使攻击者通过具有管理特权的REST API来执行任意操作。”
  • CVE-2019-15976影响SOAP API端点。思科表示,可以通过“使用静态密钥来创建有效的会话令牌来利用这一漏洞。成功利用该漏洞可以使攻击者通过具有管理特权的SOAP API来执行任意操作。”
  • CVE-2019-15977是DCNM基于Web的管理界面中的漏洞。与其他两个涉及静态加密密钥不同,它是由于可以使用静态凭证来获得对用户界面的特权访问。根据思科的说法,“成功利用漏洞,攻击者可以访问Web界面的特定部分,并从受影响的设备中获取某些机密信息。这些信息可用于对系统进行进一步的攻击。”

对于管理员来说,好消息是,思科表示目前这些漏洞还没有被利用。

漏洞修复

思科已经发布了免费软件更新来解决本文中描述的漏洞。客户只能安装已购买许可证的软件版本和功能集。安装、下载、访问或以其他方式使用此类软件升级,客户要同意遵守Cisco软件许可的条款:https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

此外,客户只能下载具有有效许可证的软件。这些软件可以直接从思科购买,或通过思科授权的经销商或合作伙伴购买。免费安全软件更新不会授予客户新的软件许可证、附加软件功能集或主要版本升级的权利。

在考虑软件升级时,客户要定期查阅Cisco产品的咨询(可从Cisco安全咨询和警报页面获得),以确定暴露程度和完整的升级解决方案。

在任何情况下,客户都应确保要升级的设备有足够的内存,并确认新版本可以继续支持当前的硬件和软件配置。如果信息不明确,建议客户联系思科技术支持中心(TAC)或他们的合作维护提供商。

没有服务合同的客户

直接从思科购买但不持有思科服务合同的客户,或者通过第三方供应商进行购买但未通过销售点获得软件修复的客户需联系思科来获得升级:https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

客户在进行免费升级时,需提供可用的产品序列号,和该漏洞通报的URL。

目前,思科已在思科DCNM软件版本11.3(1)和更高版本中修复了这些漏洞。该软件修复还包括针对其他七个涉及REST和SOAP API的DCNM漏洞的补救措施,思科表示,这些漏洞相对没有那么严重。更新的软件和安装信息可在思科网站上获得。

参考链接:
1.https://www.datacenterknowledge.com/cisco/cisco-issues-data-center-network-manager-update-fix-three-vulnerabilities
2.https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-auth-bypass


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/23827.html
分享到:
相关文章
条评论

登录后才可以评论

SDNLAB君 发表于20-01-06
0