Cisco vydává opravy kritických nedostatků ovlivňujících Nexus Dashboard pro datová centra

Společnost Cisco vyřešila závažné zranitelnosti v řešení správy datového centra Cisco Nexus Dashboard, které umožňuje vzdáleným útočníkům spouštět příkazy a provádět akce s oprávněními root nebo Administrator.

22. 7. 2022

Společnost Cisco ve středu vydala bezpečnostní záplaty pro 45 zranitelností ovlivňujících různé produkty, z nichž některé by mohly být zneužity k provádění libovolných akcí se zvýšenými oprávněními na postižených systémech.

Ze 45 chyb byla jedna bezpečnostní chyba vyhodnocena jako kritická, tři jsou vyhodnoceny jako vysoké a 41 chyb je hodnoceno jako střední.

Nejzávažnějšími chybami jsou:

  • CVE-2022-20857 (CVSS skóre: 9,8) – Chyba zabezpečení při spuštění libovolného příkazu Cisco Nexus Dashboard
  • CVE-2022-20858 (CVSS skóre: 8,2) – Chyba zabezpečení při čtení a zápisu container image Cisco Nexus Dashboard
  • CVE-2022-20861 (CVSS skóre: 8,8) – Chyba zabezpečení Cisco Nexus Dashboard týkající se padělání požadavků mezi weby (CSRF)

Chyby mají dopad na Cisco Nexus Dashboard pro datová centra a cloudové síťové infrastruktury a mohly by umožnit neověřenému vzdálenému útočníkovi provádět libovolné příkazy, číst nebo nahrávat container image soubory nebo provádět útok na padělání požadavků napříč weby.

Chyby se týkají Cisco Nexus Dashboard 1.1 a novější. Společnost Cisco vyřešila nedostatky v dnes již zveřejněné bezpečnostní aktualizaci 2.2(1e) a radí zákazníkům, aby co nejdříve migrovali na opravenou verzi.

Další velmi závažná chyba se týká zranitelnosti v implementaci SSL/TLS Cisco Nexus Dashboard (CVE-2022-20860, CVSS skóre: 7,4), která by mohla umožnit neověřenému vzdálenému útočníkovi změnit komunikaci s přidruženými ovladači nebo zobrazit citlivé informace.

Tyto bezpečnostní chyby byly nalezeny bezpečnostními výzkumníky ve skupině Cisco Advanced Security Initiatives Group (ASIG) během interního testování zabezpečení. Tým Cisco Product Security Incident Response Team (PSIRT) uvedl, že společnost si není vědoma veřejně dostupných exploitů nebo aktivního využívání ve volné přírodě.

Zdroje

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.