Cisco UCS İçin Yama Vakti

Cisco, Çarşamba günü Unified Computing ürünlerinin bazılarını etkileyen 17 kritik ve yüksek derecede güvenlik açığı için yamalar yayınladığını bildirdi.

Bu güvenlik açıklarının çoğu, Cisco Unified Computing System (UCS) sunucuları için yerleşik sunucu yönetimi yetenekleri sağlayan Tümleşik Yönetim Denetleyicisini (Integrated Management Controller-IMC) etkiler. Güvenlik zafiyetlerinden beşi aynı zamanda UCS Direktörü ve Büyük Veri için UCS Direktörü Express’i etkilemektedir ve bir sorun sadece UCS Direktörü ve Büyük Veriler için UCS Direktörü Express’i etkilemektedir.

Kritik kusurlar CVE-2019-1937 , CVE-2019-1974 , CVE-2019-1935 ve CVE-2019-1938 olarak izlenmektedir . Hedeflenen sistemde yönetici izinleri de dahil olmak üzere yüksek ayrıcalıklar elde etmek için kimliği doğrulanmamış saldırganlar tarafından sömürülebilir. Sömürü, özel hazırlanmış istekleri göndermeyi ve varsayılan kimlik bilgilerini kötüye kullanmayı içerir.

Çok şiddetli kusurlara gelince, birçoğu sömürü için kimlik doğrulaması gerektirir, ancak bazıları kimlik doğrulaması olmadan kullanılabilir. Hizmet reddine (DoS) neden olmak, kök ayrıcalıklarıyla rasgele komutlar uygulamak, sistem yapılandırmasında yetkisiz değişiklikler yapmak ve hassas yapılandırma verilerini elde etmek ve ayrıcalıkları yükseltmek için kullanılabilirler.

Bu hafta yayan güvenlik açıklarının birçoğu, iç güvenlik testleri ve destek taleplerinin çözümü sırasında Cisco tarafından tespit edildi, ancak bir kısmı  bir araştırmacı ve bu konuda bilgi almak isteyen bir uzman olan Pedro Ribeiro’ya aktarıldı. Dış araştırmacılar, dört kritik güvenlik açığından üçünde kredilendirildi.

Cisco, UCS ve IMC’yi etkileyen kusurlardan herhangi birinin kötü amaçlı amaçlar için kullanıldığına dair kanıt bulunmadığını söyledi.

Ağ devi, müşterilere Small Business 220 serisi akıllı anahtarlardaki iki güvenlik açığı için public exploit  kodunun farkında olduğunu bildirmek için Çarşamba günü daha önce yayınlanmış iki bildirgeyi de güncelledi .

securityweek

About The Author

Reply