Производитель сетевого оборудования Cisco выпустил обновления программного обеспечения для устранения нескольких критических уязвимостей в HyperFlex HX и SD-WAN vManage Software, которые могут позволить злоумышленнику осуществить атаку инъекцией команд, выполнить произвольный код и получить доступ к конфиденциальной информации.
В серии опубликованных 5 мая рекомендаций, компания сообщила, что обходных путей устранения проблем не существует.
Уязвимости HyperFlex HX, связанные с инъекцией команд, отслеживаемые как CVE-2021-1497 и CVE-2021-1498 (рейтинг CVSS 9.8), затрагивают все устройства Cisco с программным обеспечением HyperFlex HX версий 4.0, 4.5 и предшествующих 4.0. Возникающие из-за недостаточной проверки вводимых пользователем данных в веб-интерфейсе управления Cisco HyperFlex HX Data Platform, дефекты могут позволить неаутентифицированному злоумышленнику удаленно выполнить инъекции команд на уязвимом устройстве.
«Злоумышленник может использовать эту уязвимость, отправив поддельный запрос на веб-интерфейс управления», - говорится в предупреждении компании. «Успешная эксплуатация может позволить злоумышленнику выполнить произвольные команды от имени пользователя root или tomcat8».
Cisco также устранила пять ошибок в программном обеспечении SD-WAN vManage Software (CVE-2021-1275, CVE-2021-1468, CVE-2021-1505, CVE-2021-1506 и CVE-2021-1508), которые могут позволить неаутентифицированному злоумышленнику удаленно выполнить произвольный код, получить доступ к конфиденциальной информации, или позволить аутентифицированному злоумышленнику локально получить повышенные привилегии или несанкционированный доступ к приложению.
Никита Абрамов и Михаил Ключников из Positive Technologies сообщили о HyperFlex HX, в то время как четыре ошибки в SD-WAN vManage были выявлены в ходе внутреннего тестирования безопасности, а CVE-2021-1275 была обнаружена во время решения проблемы в центре технической поддержки Cisco (TAC).
Несмотря на отсутствие доказательств использования уязвимостей в реальных кибератаках, пользователям рекомендуется обновить системы до последней версии, чтобы снизить связанные с этими дефектами риски.
VMware исправляет критическую ошибку в vRealize Business for Cloud
Последние новости касаются не только Cisco. Компания VMware в среду выпустила исправления для устранения критической ошибки в vRealize Business for Cloud 7.6, которая позволяет неавторизованным злоумышленникам удаленно выполнять вредоносный код на уязвимых серверах.
Дефект удаленного выполнения кода (CVE-2021-21984, рейтинг CVSS: 9.8) связан с неавторизованной конечной точкой VAMI, в результате чего злоумышленник, имеющий доступ к сети, может запустить неавторизованный код на устройстве. Пострадавшие клиенты могут устранить проблему, установив патч безопасности из ISO-файла.
Компания Vmware выразила благодарность Егору Димитренко из Positive Technologies за сообщение об уязвимости.
Источник: https://is-systems.org