【预警通告】Cisco Digital Network Architecture Center(DNA) 多个漏洞

当地时间5月16日,Cisco官方发布多则安全通告称修复了Digital Network Architecture(DNA) Center的3个高危漏洞,包括未授权访问和安全认证绕过等。

漏洞概述

DNA Center Authentication Bypass漏洞(CVE-2018-0271)

  • CVSS Base 10.0

Cisco(DNA)中心的API网关中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证并访问关键服务。

该漏洞源于服务请求之前没有正常化(normalize)URL。 攻击者可以通过提交精心设计的URL来利用此漏洞。 一次成功的攻击可能会使未授权的攻击者获得关键服务的访问权限。

  • 受影响的版本

Cisco DNA Center Software Releases < 1.1.2

  • 不受影响的版本

Cisco DNA Center Software Releases >= 1.1.2

参考链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dna2

DNA Center Static Credentials漏洞(CVE-2018-0222)

  • CVSS Base 10.0

当系统管理员账户使用的是默认的静态用户凭证时,该漏洞可能允许未授权的远程攻击者登录系统。

此漏洞源于软件的默认管理帐户存在未记录的静态用户凭据。 攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。 一次成功的攻击可能允许攻击者登录到受影响的系统并使用root权限执行任意命令。

  • 受影响的版本

Cisco DNA Center Software Releases < 1.1.3

  • 不受影响的版本

Cisco DNA Center Software Releases >= 1.1.3

参考链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dnac

DNA Center Unauthorized Access 漏洞(CVE-2018-0268)

  • CVSS Base 10.0

Cisco(DNA)中心的容器管理子系统中的漏洞可能允许未经身份验证的远程攻击者绕过身份验证并获得提升的权限。

此漏洞源于DNA Center中Kubernetes容器管理子系统的默认配置不安全。 有权访问Kubernetes服务端口的攻击者可以在提供的容器中使用提升的特权执行命令。 成功利用可能会导致受影响的容器完全泄露。

  • 受影响的版本

Cisco DNA Center Software Releases <= 1.1.3

  • 不受影响的版本

Cisco DNA Center Software Releases >= 1.1.4

参考链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180516-dna

解决方案

Cisco官方已经发布相应版本修复了上述漏洞,受影响的用户应尽快升级进行防护。

用户可以按以下步骤查询自己使用的Cisco DNA Center Software版本:

  1. 使用支持HTTPS的浏览器登录到Cisco DNA Center GUI。
  2. 在DNA中心的主页上,点击设置(齿轮)图标,然后点击“关于DNA Center”。
  3. 系统版本(System version)处显示的即为当前软件版本。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

 

发表评论