В Cisco DNA Center исправлены опасные уязвимости
Уязвимости позволяют причинить ущерб внутренним критическим сервисам организации.
В Cisco Digital Network Architecture (DNA) Center обнаружены две опасные уязвимости, позволяющие обойти аутентификацию. С их помощью атакующий с физическим доступом к оборудованию может миновать процесс аутентификации и причинить ущерб внутренним критическим сервисам организации. DNA Center позволяет администраторам добавлять в сеть новые устройства и управлять ими в соответствии с корпоративными политиками.
Уязвимость CVE-2019-1848 существует из-за недостаточного ограничения доступа к портам, использующимся для управления системой. С ее помощью злоумышленник может подключить к сети неавторизованное устройство и получить доступ к сервисам, не предназначенным для посторонних. Опасность уязвимости оценивается в 9,3 балла из 10. Проблема затрагивает версии DNA Center до 1.3.
Вторая уязвимость , CVE-2019-1625, связана с интерфейсом командной строки решения Cisco SD-WAN. С ее помощью авторизованный атакующий с доступом к оборудованию может повысить свои привилегии на уязвимом устройстве до уровня суперпользователя.
Проблема затрагивает Cisco vBond Orchestrator Software, vEdge Series Routers серий 100, 1000, 2000, и 5000, vEdge Cloud Router Platform, vManage Network Management Software и vSmart Controller Software. Вышеперечисленные продукты являются уязвимыми в случае, если они работают на базе решения Cisco SD-WAN до версий 18.3.6, 18.4.1 и 19.1.0.
Обе уязвимости были выявлены специалистами Cisco в ходе внутреннего тестирования и не эксплуатируются в реальных атаках.