- A+
思科修补了与其用于管理NX-OS的DCNM平台相关的三个身份验证旁路错误。
思科系统公司已发布了针对三个关键漏洞的补丁程序,这些漏洞影响了用于管理其网络平台和交换机的关键工具。 该漏洞可能使未经身份验证的远程攻击者绕过端点身份验证,并在目标设备上以管理权限执行任意操作。
这家网络巨头周四披露了严重漏洞; 这三者(CVE-2019-15975,CVE-2019-15976,CVE-2019-15977)都会影响思科数据中心网络管理器(DCNM),后者是用于管理运行思科NX-OS的数据中心的平台。 NX-OS是Cisco Nexus系列以太网交换机和MDS系列光纤通道存储区域网络交换机使用的网络操作系统。
受影响的产品包括早于Microsoft Windows,Linux和虚拟设备平台的11.3版中的Cisco DCNM软件版本。
根据分析漏洞的Tenable研究人员的说法 ,其中两个缺陷( CVE-2019-15975和CVE-2019-15976 )是“由于存在DCN而在Cisco DCNM的REST API和SOAP API端点中存在身份验证绕过漏洞。安装之间共享的静态加密密钥。”
根据RestFulApi.net的说法,代表性状态转移(REST)是一种用于设计网络应用程序的体系结构样式。 根据DZone的描述 ,简单对象访问协议(SOAP)是一种标准的通信协议系统,允许使用Linux和Windows等不同操作系统的进程通过HTTP及其XML进行通信。
Tenable的高级研究工程师Satnam Narang在一篇文章中写道:“未经授权的远程攻击者可以通过发送特制请求(包括使用静态加密密钥生成的有效会话令牌)来通过REST API或SOAP API获得管理特权。” 博客文章概述了发现 。
思科将第三个错误( CVE-2019-15976 )描述为“数据中心网络管理器身份验证旁路漏洞”。该漏洞存在于DCNM的基于Web的管理界面中,从而允许未经身份验证的远程攻击者绕过服务器上的身份验证。受影响的设备。
“该漏洞是由于存在静态凭据。 攻击者可以通过使用静态凭据对用户界面进行身份验证来利用此漏洞,”思科写道。 “成功的利用可能使攻击者可以访问Web界面的特定部分并从受影响的设备中获取某些机密信息。 该信息可用于对系统进行进一步的攻击。”
这三个错误中的每一个均收到9.8级严重性的通用漏洞评分系统评分。 思科已经发布了修补漏洞的软件更新 。 该公司补充说,没有解决此问题的解决方法。
除了这三个严重错误外,思科还修补了9个严重程度较低的缺陷,这些缺陷也与DCNM组件有关。
