سیسکو درباره آسیبپذیری بحرانی در سیستم ها هشدار داد
سیسکو درباره آسیبپذیری بحرانی در سیستم ها هشدار داد
به گزارش پایگاه خبری امنیت فناوری اطلاعات ، آسیبپذیری بحرانی با کد CVE_۲۰۱۸_۰۲۳۸ در خصوص سیستم Cisco_USC_Director شناسایی شدهاست که مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM است که طبق اطلاعات منتشر شده مهاجمان از راهدور میتوانند اطلاعات غیرمجاز هر ماشینمجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشینهای مجازی هدف انجام دهند.
Cisco USC Director
یکی ازراهحلهای شرکت سیسکو جهت مراکز داده مبتنیبرسرویسهای ابری است که از بخشها و قابلیتهای مختلفی تشکیل شدهاست.
این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایههای مختلف پیادهسازی میشود، لذا به بخشهای مختلفی در شبکه و مراکز داده متصل میشود که از اهمیت و حساسیت بالایی برای استفادهکنندگان برخوردار است.
آسیبپذیری فوق ناشی از عدم تایید هویت صحیح کاربران است. مهاجمان برای سوءاستفاده از این آسیبپذیری میتوانند با استفاده از نامکاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندیها و دیگر اطلاعات حساس دسترسی مییابند و میتوانند هرگونه اقدامی علیه ماشینهای مجازی انجام دهند.
این آسیبپذیری بر روی سیستمهای UCS با نسخه ۶.۰ و ۶.۵ قبل از Patch ۳ که دارای پیکربندی پیش فرض هستند، تاثیر میگذارد. آسیبپذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوءاستفاده قرار میگیرد. (رابط کاربری Rest API آسیبپذیری و تحت تاثیر قرار نمیگیرد.)
لازم به ذکر است که هردونوع روشهای احرازهویت بهصورت محلی و ازطریق سرویسدهندههای LDAP میتوانندموردسوءاستفاده قرارگیرند.
این آسیبپذیری در نسخه Cisco UCS Director ۶.۵.۰.۳ وصله شدهاست که مدیران شبکه نیاز به بهروز رسانی سیستمهای خود دارند.
مسیر دریافت آخرین نسخه بهروز رسانی شده، در سایت شرکت سازنده در مسیر زیر است:
Products > Servers – Unified Computing > UCS Director > UCS Director ۶.۵ > UCS Director Virtual Appliance Software-۶
دیگر اطلاعات در نشانی CISCO توسط شرکت سازنده در دسترس قرار دارد.
منبع : افتنا
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.