Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОТРАНС» СООБЩАЕТ:

Компания Cisco исправила опасную уязвимость в своем программном обеспечении Data Centre Network Manager (DCNM).

 В конце 2017 года была выявлена уязвимость в функциях управления доступом на основе ролей (RBAC) в Cisco Prime DCNM, которая позволяла злоумышленникам без проверки подлинности получить удаленный доступ к конфиденциальной информации или выполнить произвольный код с правами root в системе. Эта уязвимость  была связана с отсутствием механизмов проверки подлинности и авторизации для средства отладки, которое было случайно включено в программное обеспечение. Злоумышленник мог воспользоваться уязвимостью путем удаленного подключения к средству отладки по протоколу TCP. Для устранения уязвимости Cisco выпустила программное обеспечение DCNM 10.2 (1).

Новая уязвимость представляет собой проблему некорректной проверки пользовательских запросов в интерфейсе управления. Злоумышленник может отправить специально сформированные запросы и обманом заставить целевой сервер возвратить содержимое файловых каталогов. Компания Cisco выпустила обновления программного обеспечения DCNM 11.1 (0), направленные на устранение данной уязвимости.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» рекомендуют всем пользователям, которые работают с устаревшими версиями DCNM установить обновленную версию продукта.