Duas vulnerabilidades de segurança graves (CVE-2018-0448, CVE-2018-15386) afetando a arquitetura de rede digital da Cisco (DNA) O software Center acaba de ser corrigido. A interface do DNA Center é usada por administradores de rede para adicionar novos dispositivos à rede e gerenciá-los com base em políticas empresariais. O centro faz parte do kit de ferramentas da Cisco para rede baseada na Internet.
Mais sobre CVE-2018-15386
Esta vulnerabilidade pode permitir um não autenticado, atacante remoto para ignorar a autenticação e ter acesso não autorizado direto a funções críticas de gerenciamento, Cisco explicou. Como já mencionado, a falha é classificada como crítica e tem um Sistema de Pontuação de Vulnerabilidade Comum (CVSS) v 3.0 avaliação de 9.8 fora de 10, uma avaliação bastante alta.
A vulnerabilidade se deve a uma configuração padrão insegura do sistema afetado. Um invasor pode explorar esta vulnerabilidade conectando-se diretamente aos serviços expostos. Uma exploração pode permitir que o invasor recupere e modifique arquivos críticos do sistema.
A empresa emitiu atualizações de software que endereço CVE-2018-0448. Observe que não há soluções alternativas que resolvam a falha, o que significa que os administradores precisam atualizar para o último lançamento o mais rápido possível.
Mais sobre CVE-2018-0448
Esta é uma vulnerabilidade no serviço de gerenciamento de identidade da Cisco Digital Network Architecture (DNA) Centro. Afeta todas as versões do software Cisco DNA Center antes do lançamento 1.1.4. Pode permitir um não autenticado, atacante remoto para ignorar a autenticação e assumir o controle total das funções de gerenciamento de identidade, Cisco disse.
A vulnerabilidade é devido a restrições de segurança insuficientes para funções críticas de gerenciamento. Um invasor pode explorar esta vulnerabilidade enviando uma solicitação válida de gerenciamento de identidade ao sistema afetado.
Em caso de exploração, um invasor pode ser capaz de visualizar e fazer modificações não autorizadas em usuários existentes do sistema e também criar novos usuários.
A vulnerabilidade foi endereçado, sem solução possível.
Felizmente, ambas as vulnerabilidades foram descobertas durante os testes internos, e a empresa não tem conhecimento de nenhuma exploração ativa na natureza.
Ambas as falhas foram encontradas durante os testes internos. A Cisco não está ciente de quaisquer explorações para as falhas.