思科昨天發布了16項安全建議,其中包括針對三個評級為「嚴重」的漏洞的警報,並且在cvssv3嚴重性評分中最多收到10個10。
這三個漏洞包括乙個後門帳戶和思科數字網路體系結構(dna)中心認證系統的兩個旁路。
思科dna中心是一款針對企業客戶的軟體,它提供了乙個**系統,用於在大型網路中設計和部署裝置配置(又名配置)。
這可以說是乙個相當複雜的軟體,據思科稱,最近一次內部審計已經取得了一些非常糟糕的結果。
cve-2018-0222
這些漏洞中的第乙個,也許是最容易被利用的漏洞,是cve-2018-0222。思科將其描述為「預設管理帳戶的」未公開的靜態使用者憑據「,這只是拼寫後門帳戶的更長途徑。
該公司沒有透露該帳戶的預設使用者名稱和密碼,但表示它授予目標系統上的攻擊者root許可權。
建議使用者盡快應用軟體修補程式來刪除該帳戶,因為沒有已知的解決方法可以在安裝更新之前將其禁用。
cve-2018-0268
第二個漏洞是cve-2018-0268,它是思科dna中心內部嵌入的kubernetes容器管理子系統的認證旁路。
「有能力訪問kubernetes服務埠的攻擊者可以在提供的容器中使用提公升的特權執行命令,」思科說。「成功的利用可能會導致受影響的貨櫃的完全折中。」
與以前的缺陷一樣,沒有解決方法,使用者必須更新他們的dna中心以保護自己。
cve-2018-0271
最後但並非最不重要的是cve-2018-0271,dna中心的api閘道器中的認證旁路。
「該漏洞是由於在服務請求之前未能對url進行規範化所致,」思科解釋說。「攻擊者可以通過提交旨在利用該問題的精心設計的url來利用此漏洞。乙個成功的漏洞利用攻擊可以讓攻擊者獲得對關鍵服務的未經授權的訪問,從而提高dnacenter的許可權。」
思科解決了dnacenterv1.1.3中的所有三個問題。
我們不要批評思科
作為2023年12月開始的大規模內部審計系列的一部分,該公司發現了這些缺陷。
當時,國內知名黑客組織東方聯盟安全研究人員在軟體中發現了乙個可以解密vpn流量的後門帳戶,思科決定在攻擊者首先發現他們之前搜尋並找到任何類似的後門。
作為內部審計的一部分,該公司在過去兩年中發現了許多後門和硬編碼賬戶,並因其努力受到了一些非常不公平的批評。
思科發現的最新後門是在3月份,當時該公司的工程師在思科的primecollaborationprovisioning(pcp)平台中發現了兩個,而在iosxe作業系統中發現了乙個。(黑客週刊)
無盤軟體在企業中的應用
各個大中小型企業開始意識到在 it系統建設和管理中,除了要有先進的裝置和技術外,還必須有一套規範的 it服務管理流程。在日常辦公的過程中,時常遇到因作業系統故障 軟體損壞等問題從而嚴重影響了日常的辦公,要想解決因系統故障給客戶帶來諸多不便的問題,企業就必須加強 it系統的建設和管理,確保系統的正常運...
軟體企業中的商務人士在考慮什麼
商務人士自然考慮商務問題!哈哈,貌似說了和沒說一樣。其實可以分兩大塊,一塊是企業內容的運轉與管理,乙個是企業外部的聯絡與市場。就內部來說,無非就是人事管理,財務管理,以及企業運作流程,這些實際的東西,然後就是一些蘊含在裡面的文化方面的事情。外部就是尋找企業發展資源,結交相關人士,商品的市場推廣 銷售...
在企業中真的需要Linux嗎?
這個問題我想了已經很長時間了,基本上自從聽說 linux 一來就開始了。經過自己不斷的探索,終於學會了安裝和配置一些簡這可能只是因為我目前的工作不允許我華費成天的精力在一些細緻的工作上,也許我有朝一日可以不用維護日常的計算機問題,不用管理公司網路的三層裝置的話,我會達到這樣乙個水平,但我相信一般的企...