آسیبپذیری انتشار اطلاعات پورتال کاربران ماشین مجازی توسط UCS Director در سیسکو
خلاصه آسیبپذیری
این آسیبپذیری با شناسه (CVE-2018-0238)، ناشی از عدم احراز هویت مناسب کاربر است. در این آسیبپذیری UCS Director با تآیید هویت هکر، امکان دسترسی از راه دور را به او داده و به این ترتیب اطلاعات پورتال کاربران هر ماشین مجازی بهوسیله UCS Director در دسترس هکر قرار خواهد گرفت. هکر از طریق اکسپلویت این اسیب پذیری، با اصلاح نام کاربری و پسورد معتبر به UCS Director وارد میشود و در سیستم آسیب دیده، اقداماتی را علیه تمامی ماشینهای مجازی UCS Director انجام دهد.
شدت آسیبپذیری
با توجه به گزارشات منتشر شده، شدت این آسیبپذیری Critical (حیاتی) میباشد.
راهکارهای امنیتی ارائه شده تا کنون
راهکارهایی که تا کنون برای این آسیبپذیری ارائه شدهاند به شرح زیر میباشد:
شرکت سیسکو تا کنون راهکاری برای این آسیبپذیری ارائه نکرده است. اما در آخرین آپدیت نرمافزاری که منتشر کرده است به این نوع آسیبپذیری نیز اشاراتی دارد:
https://www.cisco.com/c/en/us/products/end-user-license-agreement.html
پچ این آسیب پذیری در نسخه UCS Director 6.5.0.3 ارائه شده است که از طریق سایت cisco.com و مسیر زیر امکان دانلود آن میباشد:
Products > Servers - Unified Computing > UCS Director > UCS Director 6.5 > UCS Director Virtual Appliance Software-6
علاوه بر این تاکید شده است که مشتریان نرمافزار را مستقیماً از سایت سیسکو و با لایسنس معتبر دانلود کنند و یا از نمایندگیهای رسمی این شرکت نرم افزار معتبر را دریافت نمایند. زیرا اغلب اصلاحات و رفع خطاها برای نرم افزارهایی که از قبل خریداری شده اند قابل دریافت خواهد بود.
منبع: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-uscd