اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

آسیب‌پذیری افشای اطلاعات در نرم‌افزار Cisco DNA Center و نحوه رفع آسیب‌پذیری

نرم‌افزار Cisco DNA Center

یک آسیب‌پذیری در نرم‌افزار Cisco DNA Center می‌تواند به یک مهاجم غیرمجاز از راه دور اجازه دسترسی به اطلاعات حساس بر روی یک سیستم آلوده را بدهد.

این آسیب‌پذیری به‌دلیل مدیریت نادرست نشانه‌های احراز هویت، به‌وسیله نرم‌افزار آلوده است. یک مهاجم می‌تواند با ارسال یک درخواست HTTP دستکاری شده از این آسیب‌پذیری سوء استفاده کند. نفوذ موفق به سیستم، اطلاعات حساس دستگاه را که شامل فایل‌های پیکربندی شده است، در دسترس مهاجم قرار می‌دهد.

Cisco نسخه‌های بروزرسانی شده‌ای که این آسیب‌پذیری را برطرف می‌کند، ارائه کرده است. هیچ راهکاری برای از بین بردن این آسیب‌پذیری وجود ندارد.

محصولات آسیب‌پذیر

این آسیب‌پذیری تمام نسخه‌های x.1.3 ارائه شده مقدم بر نسخه 1.3.1.4 نرم‌افزار Cisco DNA Center را در معرض خطر قرار می‌دهد.

محصولاتی که آسیب‌پذیر نیستند

تنها محصولاتی که در قسمت محصولات آسیب‌پذیر این مطلب آمده‌اند، به عنوان محصولات در معرض خطر شناخته شده‌اند و سایر محصولات آسیب‌پذیر نیستند.

راهکارها

هیچ راهکاری برای رفع این آسیب‌پذیری وجود ندارد.

برای مشاوره رایگان جهت (باز)طراحی امنیت شبکه و یا خرید لایسنس محصولات امنیت سیسکو با کارشناسان شرکت APK تماس بگیرید.

نسخه نرم‌افزاری اصلاح‌شده

Cisco نسخه‌های آپدیت شده‌ی رایگان نرم‌افزاری که آسیب‌پذیری شرح داده شده در این مطلب را رفع می‌کنند، منتشر کرده است. مشتریان تنها برای نسخه‌های نرم‌افزار و مجموعه ویژگی‌های که لایسنس خریداری کرده‌اند، خدمات نصب و پشتیبانی دریافت می‌کنند. مشتریان با نصب، دانلود، دسترسی و یا استفاده از این نسخه‌های آپگرید شده، موافقت خود را نسبت به رعایت شرایط لایسنس نرم‌افزار Cisco اعلام می‌نمایند.

علاوه بر آن، مشتریان تنها زمانی می‌توانند نرم‌افزار را دانلود کنند که دارای لایسنس معتبر خریداری شده به‌طور‌مستقیم از Cisco یا از شریک یا نمایندگی معتبر Cisco باشند. دربسیاری از موارد این نسخه، یک نسخه اصلاح‌شده نرم‌افزاری خواهد بود که قبلا خریداری شده‌است. آپدیت رایگان جدید نرم‌افزار امنیتی، به معنی حق برخورداری مشتریان از مجوز جدیدی از نرم‌افزار، مجموعه ویژگی‌های جدید نرم‌افزاری اضافه یا نسخه‌های ارتقاء یافته‌ی اصلاح‌شده نرم‌افزاری اصلی نیست.

در تمامی موارد، بهتر است مشتریان از وجود حافظه کافی در دستگاه‌های در آستانه آپگرید اطمینان حاصل‌کرده و پشتیبانی مناسب سخت‌افزار و نرم‌افزار کنونی را در ادامه توسط نسخه جدید تایید ‌کنند. درصورت مبهم بودن اطلاعات به مشتریان پیشنهاد می‌شود تا با Cisco Technical Assistance Center (TAC) یا با شرکت‌های ارائه دهنده خدمات طرف قراردادشان تماس برقرارکنند.

مشتریانی که قراردارد دریافت خدمات ندارند

مشتریانی که به صورت مستقیم ازCisco  خرید می‌کنند، اما قرداد دریافت خدمات Cisco ندارند، و مشتریانی که خرید خودرا از فروشندگان شخص ثالث انجام داده و موفق به کسب نسخه اصلاح‌شده نرم‌افزار از نقطه خرید خود نشده‌اند باید با برقراری تماس با Cisco TAC از طریق این لینک نسخه ارتقاء یافته را دریافت نمایند.

مشتریان ملزم به داشتن شماره سریال محصول و همچنین آمادگی برای ارائه URL این مطلب به عنوان مدرک، به‌منظور اثبات استحقاق برای دریافت نسخه آپگرید شده، می‌باشند.

نسخه‌های اصلاح‌شده

این آسیب‌پذیری در نسخه‌ی 1.3.1.4 و نسخه‌های بعد از آن از نرم‌افزار Cisco DNA Center برطرف شده‌است.

نرم‌افزار Cisco DNA Center یک ابزار فیزیکی اختصاصی است که از Cisco به همراه تصویر از پیش نصب شده DNA Center ISO، خریداری شده‌است. آپدیت‌های سیستمی برای نصب از Cisco Cloud در دسترس هستند، اما برای دانلود از Software Center در Cisco.com در دسترس نیستند. برای آپگرید به نسخه اصلاح‌شده نرم‌افزار Cisco DNA Center، ادمین‌ها می‌توانند از ویژگی System Updates نرم‌افزار استفاده کنند.

سوء استفاده از آسیب‌پذیری و اطلاعیه‌های عمومی

تیم واکنش به حوادث امنیتی Cisco Product هیچگونه اطلاعی از اطلاعیه‌های عمومی و استفاده‌های مخرب از آسیب‌پذیری توصیف شده در این مطلب ندارد.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK