Cisco hat das neue Jahr mit der Veröffentlichung von insgesamt sechs Security Advisories begonnen, die sich durchweg mit Sicherheitslücken im Data Center Network Manager (DCNM) beschäftigen. Drei der insgesamt zwölf darin beschriebenen Lücken stuft der Netzwerkausrüster als kritisch ein. Ein entfernter Angreifer könnte sie missbrauchen, um Authentifizierungsmechanismen zu umgehen und anschließend auf verwundbaren Geräten verschiedene (API-spezifische) Befehle auszuführen oder vertrauliche Informationen abzufragen, die für Folgeangriffe nutzbar sind.
Detaillierte Informationen zu sämtlichen DCNM-Lücken, betroffenen Versionen und bereitstehenden Updates sind den Advisories zu entnehmen. Neben jenem Advisory mit den kritischen Lücken beschäftigen sich drei weitere mit "High"- sowie zwei mit "Medium"-Einstufungen.
- DCNM Authentication Bypass Vulnerabilities (Critical)
- DCNM SQL Injection Vulnerabilities (High)
- DCNM Path Traversal Vulnerabilities (High)
- DCNM Command Injection Vulnerabilities (High)
- DCNM XML External Entity Read Access Vulnerability (Medium)
- DCNM JBoss EAP Unauthorized Access Vulnerability (Medium)
DCNM-Versionen vor 11.3(1) von kritischen Lücken betroffen
Laut Ciscos Advisory zu den kritischen Lücken fußen diese auf der Verwendung von statischen Verschlüsselungskeys in den REST- beziehungsweise SOAP-API-Endpunkten des DCNMs (CVE-2019-15975, CVE-2019-15976) sowie auf statischen Zugangsdaten für das DCNM-Web-Interface (CVE-2019-15977).
Von den Sicherheitslücken betroffen sind Software-Releases vor Version 11.3(1) (Windows, Linux, Virtual Appliances). Die Lücken sind laut Cisco voneinander unabhängig ausnutzbar.
Registrierte Nutzer sollten zügig handeln und die verfügbaren Updates aus Ciscos Software-Center herunterladen.
Quelle: Cisco fixt teils kritische Sicherheitslücken im Data Center Network Manager | heise online