More

    Các lỗi nghiêm trọng trong DNA Center của Cisco cho phép truy cập trái phép

    Cisco đã phát hiện và vá ba lỗ hổng nghiêm trọng cho phép truy cập trái phép trong nền tảng Kiến trúc mạng Số (DNA) của hãng.​

    Cisco DNA là một giải pháp hỗ trợ các doanh nghiệp tự động hóa các hoạt động mạng, giúp việc thiết kế, cung cấp và áp dụng các chính sách trong môi trường các doanh nghiệp dễ dàng hơn.

    Cisco phát hiện DNA Center bị ảnh hưởng bởi ba lỗ hổng nghiêm trọng. Một trong số đó, CVE-2018-0222, liên quan đến sự tồn tại của thông tin đăng nhập tĩnh trái phép về tài khoản quản trị mặc định.

    Kẻ tấn công từ xa có thể lợi dụng thông tin đăng nhập này để truy cập vào hệ thống bị ảnh hưởng và thực thi các lệnh với đặc quyền root. Lỗ hổng đã được xử lý thông qua việc phát hành phần mềm Cisco DNA Center version 1.1.3.

    Lỗ hổng thứ hai, CVE-2018-0271, cho phép kẻ tấn công từ xa vượt qua cơ chế xác thực và có được đặc quyền truy cập vào các dịch vụ quan trọng của DNA Center. Lỗ hổng này cũng đã được vá bằng việc phát hành phần mềm Cisco DNA Center version 1.1.2.

    Theo Cisco, “Lỗ hổng này nằm ở việc không chuẩn hóa được URL trước khi yêu cầu dịch vụ. Kẻ tấn công có thể khai thác lỗi bằng cách gửi một URL được thiết kế để khai thác”.

    Lỗ hổng bảo mật nghiêm trọng thứ ba, CVE-2018-0268, cũng cho phép kẻ tấn công từ xa vượt qua xác thực và có được các đặc quyền nâng cao. Bản vá lỗi này đã có trong version 1.1.3.

    Cisco cho biết, “Lỗi này do cấu hình mặc định không an toàn của hệ thống phụ quản lý container Kubernetes trong DNA Center. Khi có thể truy cập vào cổng dịch vụ Kubernetes, hacker có thể thực thi các lệnh với đặc quyền nâng cao trong các container. Việc khai thác thành công có thể dẫn đến tấn công toàn bộ các container bị ảnh hưởng”.

    Tất cả các lỗ hổng được chính Cisco phát hiện và không có bằng chứng bị khai thác.

    Cisco đã công bố hơn mười khuyến cáo bảo mật vào ngày 16/5, trong đó có 4 khuyến cáo mô tả các lỗ hổng nghiêm trọng.

    Danh sách này bao gồm một lỗ hổng cho phép thực hiện tấn công CSRF trong IoT-FND, một lỗi có thể bị khai thác để tấn công DoS trong Identity Services Engine (ISE), một lỗ hổng truy cập shell trong phần mềm NFVIS và một lỗi cho phép DoS trong giải pháp họp trực tuyến Meeting Server.

    Theo Securityweek​

    Bài Viết Mới

    Lý do Galaxy Tab S7/S7+ là tablet đáng mua nhất phân khúc

    Galaxy Tab S7/ S7+ là những sản phẩm đáng mua nhất trong thế giới máy tỉnh bảng Android ở thời điểm hiện tại.

    Cách khắc phục các lỗi thường gặp trên iPhone

    Không có gì đáng thất vọng hơn một chiếc iPhone hoạt động không ổn định như bạn mong đợi. Các ứng dụng...

    Samsung giới thiệu Galaxy S20 FE tại Việt Nam giá 16 triệu đồng

    Samsung vừa âm thầm giới thiệu mẫu Galaxy S20 FE tại thị trường Việt Nam với nhiều tuỳ chọn màu sắc và màn hình tần số quét 120Hz cùng mức giá 15.990.000VNĐ.

    Làm sao đặt hình ảnh làm nền Powerpoint?

    Điều thú vị là mọi người có thể sử dụng bất kỳ hình ảnh nào họ muốn để đặt làm nền PowerPoint...

    Ai hưởng lợi nếu Huawei sụp đổ?

    Bất ngờ vượt qua Samsung để trở thành nhà sản xuất smartphone lớn nhất thế giới trong quý II, tuy nhiên tập...

    Related Stories

    Stay on op - Ge the daily news in your inbox