思科發布25個漏洞補丁，DNA中心嚴重漏洞，可打開內部服務的訪問

思科已經修復了其DNA中心和SD-WAN的一系列嚴重缺陷。

思科敦促客戶在發現其數字網路架構(DNA)中心的一個關鍵漏洞後進行更新，該漏洞可能允許未經身份驗證的攻擊者訪問關鍵的內部服務。

總體而言，思科針對其不同產品的25個漏洞發布了補丁:兩個嚴重漏洞、七個高漏洞和16個中等漏洞。其中最嚴重的問題(CVE-2019-1848)源於對Cisco DNA中心系統運行所需埠的訪問限制不足，該中心是其網路管理和命令軟體，允許企業監視和排除網路故障。在CVSS量表上，該漏洞的嚴重程度為9.3分(滿分10分)。

「思科數字網路架構(DNA)中心的一個漏洞可能允許未經身份驗證的相鄰攻擊者繞過身份驗證，訪問關鍵的內部服務，」思科周三發布的報告稱。

攻擊者可以通過將未經授權的設備連接到網路來利用這一漏洞:根據Cisco的說法，一個成功的攻擊可以讓攻擊者到達內部服務，而這些服務「對於外部訪問沒有被加強」。受影響的是思科DNA中心軟體在1.3之前發布，請用戶更新到1.3版。

思科SD-WAN漏洞

思科還發布了針對思科SD-WAN中幾個關鍵且嚴重漏洞的補丁。SD-WAN是思科為企業管理廣域網路的軟體定義雲架構。

其中最嚴重的是命令行介面(CLI)中存在的一個關鍵特權升級缺陷(CVE-2019-1625)，它提供了用於配置和監視軟體、硬體和網路連接的各種命令。這一缺陷源於CLI授權執行不力;攻擊者可以通過對目標設備進行身份驗證並執行命令來利用該漏洞，從而最終提高特權。

思科在其報告中表示:「思科SD-WAN解決方案的CLI漏洞可能允許經過身份驗證的本地攻擊者將底層特權提升到受影響設備上的根用戶。」所選特權允許攻擊者作為根用戶對系統進行配置更改。

此漏洞影響運行在18.3.6、18.4.1和19.1.0之前的SD-WAN版本的各種Cisco產品，包括各種vEdge路由器、vBond編配器軟體和vManage網路管理軟體。

思科SD-WAN也有兩個嚴重缺陷，包括其基於web的用戶界面vManage中的一個漏洞(CVE-2019-1624)。該漏洞允許經過身份驗證的遠程攻擊者注入使用根特權執行的任意命令。

思科在其諮詢報告中表示:「這一漏洞是由於輸入驗證不足造成的。」攻擊者可以利用這個漏洞對設備進行身份驗證，並向vManage Web UI提交精心設計的輸入。成功的攻擊可能允許攻擊者使用根特權執行命令。」

另一個嚴重缺陷(CVE-2019-1626)也存在於基於web的SD-WAN vManage用戶界面中，它允許經過身份驗證的遠程攻擊者在受影響的vManage設備上獲得更高的特權。

該漏洞源於思科未能正確授權設備配置中的某些用戶操作。Cisco說，攻擊者可以通過登錄vManage Web用戶界面並向vManage發送精心設計的HTTP請求來利用這個漏洞。

報告稱:「成功的攻擊可能會讓攻擊者獲得更高的特權，並對他們通常無權進行的配置進行更改。」

這兩個高度嚴重的漏洞影響思科vManage網路管理軟體運行一個版本的思科SD-WAN解決方案之前發布18.4;請用戶更新到18.4版本。

其他漏洞

除了兩個關鍵漏洞外，思科還針對不同產品的七個嚴重故障發布了補丁，其中包括幾個拒絕服務漏洞。

其中最糟糕的包括Cisco Prime Service Catalog Software基於web的管理界面中的一個漏洞(CVE-2019-1874)，這是一個由不同軟體應用程序組成的網路管理軟體套件。該缺陷可能允許未經身份驗證的遠程攻擊者對受影響的系統進行跨站點請求偽造攻擊。

思科RV110W、RV130W、RV215W路由器管理界面存在另一個嚴重的拒絕服務漏洞。該漏洞(CVE-2019-1843)是由於在基於web的管理界面中對用戶提供的數據進行了不恰當的驗證，這可能允許未經身份驗證的遠程攻擊者在受影響的設備上創建拒絕服務。

思科還警告稱，其運行在虛擬平台上的StarOS操作系統存在拒絕服務漏洞。這個漏洞(CVE-2019-1869)是由於特定流量條件下可能發生的邏輯錯誤造成的，它可能允許未經身份驗證的遠程攻擊者導致受影響的設備停止處理流量，從而導致拒絕服務狀態。

思科表示，它不知道有任何利用這些漏洞的行為。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！