To alvorlige sårbarheder (CVE-2018-0448, CVE-2018-15.386) påvirker Ciscos Digital Network Architecture (DNA) Center-softwaren er blevet lige lappet. DNA-center interfacet bruges af netværks administratorer at tilføje nye enheder til netværket og styre dem baseret på virksomhedens politikker. Centret er en del af Ciscos værktøjskasse til internetbaseret netværk.
Mere om CVE-2018-15.386
Denne sårbarhed kan give mulighed en ikke-godkendt, ekstern hacker at omgå autentifikation og har direkte uautoriseret adgang til kritiske ledelsesfunktioner, Cisco forklarede. Som allerede nævnt fejlen er vurderet kritisk og har en Fælles Svaghed Scoring System (CVSS) i 3.0 bedømmelse af 9.8 ud af 10, en ganske høj rating.
Sårbarheden skyldes en usikker standardopsætning af det pågældende system. En hacker kan udnytte sårbarheden ved direkte tilslutning til de udsatte tjenester. En udnyttelse kan tillade angriberen at hente og ændre vigtige systemfiler.
Selskabet har udstedt softwareopdateringer, adresse CVE-2018-0448. Bemærk, at der ikke er nogen løsninger, der behandler fejlen, hvilket betyder, at administratorer har brug for at opdatere til den nyeste frigivet så hurtigt som muligt.
Mere om CVE-2018-0448
Dette er en sårbarhed i identitetsstyring tjeneste af Cisco Digital Network Architecture (DNA) Centrum. Det påvirker alle versioner af Cisco DNA Center Software før Slip 1.1.4. Det kunne give en ikke-godkendt, ekstern hacker at omgå autentifikation og få fuld kontrol over identitet ledelsesfunktioner, Cisco sagde.
Sårbarheden er på grund af utilstrækkelige sikkerheds restriktioner for kritiske ledelsesfunktioner. En hacker kan udnytte denne svaghed ved at sende et gyldigt identitetskort management anmodning til det berørte system.
I tilfælde af at udnytte, en angriber kunne være i stand til at se og foretage uautoriserede ændringer af eksisterende systembrugere og også oprette nye brugere.
Sårbarheden har været rettet, med ingen mulig løsning.
Heldigvis, begge sårbarheder blev afdækket under interne test, og virksomheden er ikke bekendt med nogen aktive exploits i naturen.
Begge fejl blev fundet under interne test. Cisco er ikke bekendt med exploits i naturen for fejlene.