思科已经披露了十二个影响其数据中心网络管理器(DCNM)软件的错误,其中包括三个使企业客户遭受远程攻击的严重的身份验证旁路错误。
思科警告说,远程攻击者可以绕过DCNM的身份验证,并在受影响的设备上以管理特权执行任务。
对于使用基于Nexus NX-OS的交换机构建的企业数据中心而言,可用的更新至关重要。DCNM是用于自动化基于NX-OS的网络基础结构部署的关键组件。
思科在单个通报中指出了三个独立的身份验证绕过漏洞。它们被标记为CVE-2019-15975,CVE-2019-15975和CVE-2019-15977,并且这三个漏洞的严重等级为9.8(可能为10),这意味着它们是至关重要的安全问题。
思科称,这些漏洞“可能会导致未经身份验证的远程攻击者绕过身份验证,并以具有管理特权的方式对受影响的设备执行任意操作。”
尽管有共同的建议,Cisco还是解释说这些漏洞是相互独立的,并且不需要利用一个漏洞就可以利用另一个漏洞。
第一个错误是由于安装之间共享的静态加密密钥所致。问题出在DCNM的REST API端点中。它允许攻击者使用静态密钥生成有效的会话令牌,并有可能通过具有管理特权的REST API随意执行操作。
第二个错误源于相同的问题。但是,它位于DCNM的SOAP API端点中。思科警告说:“成功的利用可能使攻击者可以通过具有管理特权的SOAP API执行任意操作。”
第三个错误是因为Cisco为基于Web的用户界面添加了硬编码的凭据,这可能使攻击者可以访问Web界面的一部分并从受影响的设备中获取机密信息。
思科表示已修复了Cisco DCNM软件版本11.3(1)及更高版本在Windows,Linux和虚拟设备平台上的这些漏洞。
这些错误是由Steven Seeley通过趋势科技的“零日行动计划”和埃森哲公司的iDefense报告的。
Seeley 对客户的建议是立即修补DCNM,如果无法修补,请卸载该软件。
Seeley还发现了REST和SOAP API端点以及DCNM的应用程序框架功能中的三个高严重性错误。这些错误可能允许经过身份验证的远程攻击者在受影响的设备上进行目录遍历攻击。
这些错误会影响适用于Windows,Linux和虚拟设备平台的11.3(1)之前的Cisco DCNM。这三个错误都是由于用户对相应接口的输入验证不足而导致的。
他在DCNM中发现的两个额外错误包括DCNM REST和SOAP API端点中的高严重性命令注入漏洞以及DCNM中的中度严重性问题。
*编译:Domino
*来自:ZDNET