Cisco исправила более 30 уязвимостей в различных решениях, включая Cisco UCS Director, Cisco UCS Director Express для больших данных, Cisco IMC Supervisor и интеллектуальные коммутаторы Cisco серии 220.
Пользователям Cisco UCS Director и Cisco UCS Director Express для больших данных рекомендуется выполнить обновление до версий 6.7.3.0 и 3.7.3.0, соответственно, в том числе и после исправления:
- CVE-2019-1938 , уязвимость обхода аутентификации API, которая может быть вызвана особым образом созданными HTTP-запросами, отправленными на уязвимое устройство, и может позволить злоумышленнику выполнить произвольные действия с привилегиями администратора в уязвимой системе
- CVE-2019-1935 , задокументированная учетная запись по умолчанию с недокументированным паролем по умолчанию и неверными настройками разрешений, которые могут позволить злоумышленнику войти в уязвимую систему и выполнить произвольные команды с привилегиями учетной записи scpuser (включая полный доступ на чтение и запись). в базу данных системы)
- CVE-2019-1974 , уязвимость обхода аутентификации, которая может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, обойти аутентификацию пользователя и получить доступ от имени администратора
- CVE-2019-1937 , еще один недостаток обхода аутентификации, который может позволить удаленному злоумышленнику, не прошедшему проверку подлинности, получить действительный токен сеанса с правами администратора.
Нет никаких признаков того, что какой-либо из этих недостатков используется в дикой природе.
Кроме того, все, кроме первого (CVE-2019-1938), также влияют на Cisco Integrated Management Controller Supervisor , который должен быть обновлен до выпусков 2.2.1.0 и новее, что также устраняет значительное количество уязвимостей высокого риска в этом управлении сервером. решение.
Cisco уже указала на соответствующие обновления безопасности для интеллектуальных коммутаторов Cisco серии 220 ранее в этом месяце, но теперь они говорят, что существует общедоступный код эксплойта для всех трех исправленных уязвимостей, поэтому пользователям следует обновить микропрограмму своих коммутаторов до выпусков 1.1.4.4 и позже как можно скорее.
Среди других исправлений особого примечания в этом пакете исправления для:
- CVE-2019-9506 , уязвимость согласования ключа Bluetooth, которая может быть использована при атаке KNOB . Это влияет на конечные точки Cisco Webex и несколько серий IP-телефонов .
- CVE-2019-1649 , недостаток безопасной загрузки, который может позволить злоумышленнику с локальным доступом изменить встроенное программное обеспечение многих решений Cisco, включая его устройства адаптивной защиты (ASA), коммутаторы Firepower и огромное количество моделей маршрутизаторов .
«Группа реагирования на инциденты безопасности продуктов Cisco (PSIRT) знает о существовании проверочного кода, который демонстрирует [CVE-2019-1649] на Cisco ASR 1001-X. В настоящее время нет никаких признаков того, что этот код для проверки концепции является общедоступным », - добавили в компании.
ОБНОВЛЕНИЕ (3 сентября 2019 г., 0:40 по тихоокеанскому времени):
Исследователь безопасности Педро Рибейро, который обнаружил и ответственно раскрыл CVE-2019-1935, CVE-2019-1937 и CVE-2019-1936, опубликовал подробности об этих уязвимостях в своем репозитории GitHub и выпустил соответствующие модули Metasploit.
Источник: https://video24.org/