آسیب‏‌پذیری انتشار اطلاعات پورتال کاربران ماشین مجازی توسط UCS Director در سیسکو

خلاصه آسیب‏‌پذیری

این آسیب‌پذیری با شناسه (CVE-2018-0238)، ناشی از عدم احراز هویت مناسب کاربر است. در این آسیب‌پذیری UCS Director با تآیید هویت هکر، امکان دسترسی از راه دور را به او داده و به این ترتیب اطلاعات پورتال کاربران هر ماشین مجازی به‌وسیله UCS Director در دسترس هکر قرار خواهد گرفت. هکر از طریق اکسپلویت این اسیب پذیری، با اصلاح نام کاربری و پسورد معتبر به UCS Director وارد می‌شود و در سیستم آسیب دیده، اقداماتی را علیه تمامی ماشین‌های مجازی UCS Director انجام دهد.

شدت آسیب‌پذیری

با توجه به گزارشات منتشر شده، شدت این آسیب‌‏پذیری Critical (حیاتی) می‏‌باشد.

راهکارهای امنیتی ارائه شده تا کنون

راهکارهایی که تا کنون برای این آسیب‏‌پذیری ارائه شده‌‏اند به شرح زیر می‌باشد:

شرکت سیسکو تا کنون راهکاری برای این آسیب‌پذیری ارائه نکرده است. اما در آخرین آپدیت نرم‌افزاری که منتشر کرده است به این نوع آسیب‌پذیری نیز اشاراتی دارد:

https://www.cisco.com/c/en/us/products/end-user-license-agreement.html

پچ این آسیب پذیری در نسخه UCS Director 6.‎5.‎0.‎3 ارائه شده است که از طریق سایت cisco.com و مسیر زیر امکان دانلود آن می‌باشد:

 Products > Servers - Unified Computing > UCS Director > UCS Director 6.‎5 > UCS Director Virtual Appliance Software-6

علاوه بر این تاکید شده است که مشتریان نرم‌افزار را مستقیماً از سایت سیسکو و با لایسنس معتبر دانلود کنند و یا از نمایندگی‌های رسمی این شرکت نرم افزار معتبر را دریافت نمایند. زیرا اغلب اصلاحات و رفع خطاها برای نرم افزارهایی که از قبل خریداری شده اند قابل دریافت خواهد بود.

منبع: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180418-uscd