Cisco предупредила о серьезных уязвимостях в своих продуктах
Проблемы позволяют получить доступ к целевой системе, выполнить произвольный код или повысить привилегии.
Корпорация Cisco выпустила ряд предупреждений в связи с выявлением нескольких уязвимостей в своих облачных продуктах. Проблемы предоставляют удаленному атакующему возможность получить доступ к целевой системе, выполнить произвольный код или повысить привилегии до уровня суперпользователя.
В частности в облачном контроллере Cisco Elastic Services Controller выявлено наличие вшитых логина и пароля администратора. Неавторизованный удаленный атакующий может извлечь учетные данные и получить полный доступ к целевой системе. Проблема (CVE-2017-6713) затрагивает версии Elastic Services Controller до 2.3.1.434 и 2.3.2.
В Cisco Elastic Services Controller обнаружена еще одна уязвимость (CVE-2017-6712), позволяющая удаленному авторизованному злоумышленнику повысить права на системе до уровня суперпользователя и выполнить команды на сервере. Уязвимости подвержены версии Elastic Services Controller до 2.3.1.434 и 2.3.2.
Три опасные уязвимости были выявлены в системе автоматизации Cisco Ultra Services Framework (USF). Первая (CVE-2017-6708) связана с функцией создания ссылок (symlink) в инструменте AutoVNF. Проэксплуатировав проблему неавторизованный атакующий может удаленно прочитать важные файлы или выполнить код на системе. Уязвимость затрагивает версии Ultra Services Framework до релизов 5.0.3 и 5.1.
Вторая проблема (CVE-2017-6709) содержится в AutoVNF и позволяет неавторизованному удаленному атакующему извлечь учетные данные администратора для продуктов Cisco Elastic Services Controller и Cisco OpenStack. Проблеме подвержены все релизы Cisco Ultra Services Framework до 5.0.3 и 5.1.
Третья уязвимость (CVE-2017-6711) связана со службой Ultra Automation Service (UAS) в фреймворке Cisco Ultra Services Framework. С ее помощью неавторизованный злоумышленник может удаленно получить доступ к целевому устройству. Проблема затрагивает все версии Cisco Ultra Services Framework UAS до 5.0.3 и 5.1.
Производитель уже выпустил обновления безопасности, устраняющие вышеописанные уязвимости. Обновления рекомендуется установить как можно скорее.
Источник