Cisco: критические уязвимости исправлены
Cisco Systems сообщила о выпуске целого ряда обновлений для системы безопасности, позволяющих устранить системные недостатки, которые можно использовать для нарушения работы программных продуктов. В процессе работы устранено было устранено одиннадцать критических проблем, связанных с Cisco DCNM и Cisco SD-WAN.
Почти десятибалльная уязвимость CVE-2020-3382 (обход процедуры проверки подлинности) была найдена в REST API Cisco DCNM. Это решение разработано для новейших ЦОД. Оно обеспечивает высокоуровневый контроль Cisco Nexus, MDS и Unified Computing System при помощи web-консоли. Устраненная проблема позволяла злоумышленникам обходить процедуру проверки подлинности, войти в систему с администраторскими правами через API REST и производить удаленные манипуляции на аппаратуре, подверженной уязвимости.
По словам специалистов компании, выявленная уязвимость была связана с использованием одного и того же статического ключа кодирования для разных установок. Она касается нескольких модификаций DCNM. Основным решением этой проблемы является обновление ПО до версии 11.4 (1).
Специалисты компании также исправили два серьезных недостатка, связанных с Cisco SD-WAN vManage и Cisco SD-WAN Solution.
Критическая ошибка CVE-2020-3374 (Cisco SD-WAN vManage), оцененная по шкале CVSS в 9,9 балла затрагивает управляющий веб-интерфейс. Ее использование дает возможность пользователю получать доступ к важнейшим данным, минуя авторизацию. В данном случае злоумышленник может менять системную конфигурацию и изменять уровень доступа к системной информации.
Вторая опасная проблема, CVE-2020-3375, связана с переполнением буфера памяти, которое происходит из-за некорректной проверки входящих данных. Ее использование позволяет неавторизированному пользователю получать права «суперпользователя», которые обеспечивают возможность доступа к данным, их изменению и выполнению различных команд.