思科昨天发布了16项安全建议,其中包括针对三个评级为“严重”的漏洞的警报,并且在CVSSv3严重性评分中最多收到10个10。
这三个漏洞包括一个后门帐户和思科数字网络体系结构(DNA)中心认证系统的两个旁路。
思科DNA中心是一款针对企业客户的软件,它提供了一个中央系统,用于在大型网络中设计和部署设备配置(又名配置)。
这可以说是一个相当复杂的软件,据思科称,最近一次内部审计已经取得了一些非常糟糕的结果。
CVE-2018-0222
这些漏洞中的第一个,也许是最容易被利用的漏洞,是CVE-2018-0222。思科将其描述为“默认管理帐户的”未公开的静态用户凭据“,这只是拼写后门帐户的更长途径。
该公司没有透露该帐户的默认用户名和密码,但表示它授予目标系统上的攻击者root权限。
建议用户尽快应用软件修补程序来删除该帐户,因为没有已知的解决方法可以在安装更新之前将其禁用。
CVE-2018-0268
第二个漏洞是CVE-2018-0268,它是思科DNA中心内部嵌入的Kubernetes容器管理子系统的认证旁路。
“有能力访问Kubernetes服务端口的攻击者可以在提供的容器中使用提升的特权执行命令,”思科说。“成功的利用可能会导致受影响的集装箱的完全折中。”
与以前的缺陷一样,没有解决方法,用户必须更新他们的DNA中心以保护自己。
CVE-2018-0271
最后但并非最不重要的是CVE-2018-0271,DNA中心的API网关中的认证旁路。
“该漏洞是由于在服务请求之前未能对URL进行规范化所致,”思科解释说。“攻击者可以通过提交旨在利用该问题的精心设计的URL来利用此漏洞。一个成功的漏洞利用攻击可以让攻击者获得对关键服务的未经授权的访问,从而提高DNACenter的权限。”
思科解决了DNACenterv1.1.3中的所有三个问题。
我们不要批评思科
作为2015年12月开始的大规模内部审计系列的一部分,该公司发现了这些缺陷。
当时,国内知名黑客组织东方联盟安全研究人员在软件中发现了一个可以解密VPN流量的后门帐户,思科决定在攻击者首先发现他们之前搜寻并找到任何类似的后门。
作为内部审计的一部分,该公司在过去两年中发现了许多后门和硬编码账户,并因其努力受到了一些非常不公平的批评。
思科发现的最新后门是在3月份,当时该公司的工程师在思科的PrimeCollaborationProvisioning(PCP)平台中发现了两个,而在IOSXE操作系统中发现了一个。(黑客周刊)