パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

Cisco Systems、Cisco Digital Network Architecture Centerに複数の脆弱性を確認

  • 元記事:Cisco Digital Network Architecture Center の不正アクセスの脆弱性
  • 元記事:Cisco Digital Network Architecture Center の認証バイパスの脆弱性
  • 元記事:Cisco Digital Network Architecture Center の静的クレデンシャルの脆弱性
  • HP:Cisco Systems
  • 発表日時 2018/5/22

    Cisco SystemsのCisco Digital Network Architecture Centerに複数の脆弱性が確認された。
    Cisco Digital Network Architecture(DNA)Centerには不正アクセスの脆弱性が存在する。この脆弱性はデフォルトの管理者アカウントに文書化されていない静的なユーザアカウント情報が存在しており、悪用されると攻撃者にアカウントを使用してシステムにログインされ、root 権限で任意のコマンドを実行される恐れがある。
    また、Cisco Digital Network Architecture(DNA)Centerの API ゲートウェイに要求処理の前にURLの正規化に失敗する問題による認証バイパスの脆弱性が存在する。悪用されると細工されたURLの送信により認証がバイパスされ権限昇格されて重要なサービスにアクセスされる恐れがある。
    さらに、Cisco Digital Network Architecture(DNA)Center のコンテナ管理サブシステムにも認証回避の脆弱性が存在する。DNA センター内の Kubernetes コンテナ管理サブシステムのデフォルト設定が安全でないことに起因し、悪用されるとKubernetes サービスポートにアクセス可能な攻撃者に権限昇格されプロビジョンされたコンテナ内でコマンドを実行される恐れがある。解決策としてCisco Digital Network Architecture Center1.1 3が公開されており、アップデートによりこの脆弱性は解消される。いずれも重要度はCriticalとなっている。




    あわせて読みたい