سیسکو خبر داد
ارائه به‌روزرسانی برای آسیب‌پذیری جدی CVE-۲۰۱۸-۰۲۳۸
کد مطلب: 13961
تاریخ انتشار : شنبه ۱ ارديبهشت ۱۳۹۷ ساعت ۱۶:۴۳
 
سیسکو درباره آسیب‌پذیری بحرانی به شماره CVE-۲۰۱۸-۰۲۳۸ در سیستم Cisco_USC_Director هشدار داد.
ارائه به‌روزرسانی برای آسیب‌پذیری جدی CVE-۲۰۱۸-۰۲۳۸
 
 
Share/Save/Bookmark
سیسکو درباره آسیب‌پذیری بحرانی به شماره CVE-۲۰۱۸-۰۲۳۸ در سیستم Cisco_USC_Director هشدار داد.

‫به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، آسیب‌پذیری بحرانی با کد ‫CVE_۲۰۱۸_۰۲۳۸ در خصوص سیستم Cisco_USC_Director  شناسایی شده‌است که مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM است که طبق اطلاعات منتشر شده مهاجمان از راه‌دور می‌توانند اطلاعات غیرمجاز هر ماشین‌مجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشین‌های مجازی هدف انجام دهند.

Cisco_USC_Director یکی از راه‌حل‌های شرکت سیسکو جهت مراکز داده مبتنی‌بر سرویس‌های ابری است که از بخش‌ها و قابلیت‌های مختلفی تشکیل شده‌است. این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایه‌های مختلف پیاده‌سازی می‌شود، لذا به بخش‌های مختلفی در شبکه و مراکز داده متصل می‌شود که از اهمیت و حساسیت بالایی برای استفاده‌کنند‌گان برخوردار است.

آسیب‌پذیری فوق ناشی از عدم تایید هویت صحیح کاربران است. مهاجمان برای سوء‌استفاده از این آسیب‌پذیری می‌توانند با استفاده از نام‌کاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندی‌ها و دیگر اطلاعات حساس دسترسی می‌یابند و می‌توانند هرگونه اقدامی علیه ماشین‌های مجازی انجام دهند.

این آسیب‌پذیری بر روی سیستم‌های UCS با نسخه ۶.۰ و ۶.۵ قبل از Patch ۳ که دارای پیکربندی پیش فرض هستند، تاثیر می‌گذارد. آسیب‌پذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوء‌استفاده قرار می‌گیرد. (رابط کاربری Rest API آسیب‌پذیری و تحت تاثیر قرار نمی‌گیرد.)

لازم به ذکر است که هر دو نوع روش‌های احرازهویت به‌صورت محلی و از طریق سرویس‌دهنده‌های LDAP می‌توانند مورد سوء‌استفاده قرار گیرند.

این آسیب‌پذیری در نسخه Cisco UCS Director ۶.۵.۰.۳ وصله شده‌است که مدیران شبکه نیاز به به‌روز رسانی سیستم‌های خود دارند.

مسیر دریافت آخرین نسخه به‌روز رسانی شده، در سایت شرکت سازنده در مسیر زیر است:
 Products > Servers - Unified Computing > UCS Director > UCS Director ۶.۵ > UCS Director Virtual Appliance Software-۶

دیگر اطلاعات در نشانی  https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-۲۰۱۸۰۴۱۸-uscd توسط شرکت سازنده در دسترس قرار دارد.
مرجع : مرکز ماهر