یک آسیبپذیری در نرمافزار Cisco DNA Center میتواند به یک مهاجم غیرمجاز از راه دور اجازه دسترسی به اطلاعات حساس بر روی یک سیستم آلوده را بدهد.
این آسیبپذیری بهدلیل مدیریت نادرست نشانههای احراز هویت، بهوسیله نرمافزار آلوده است. یک مهاجم میتواند با ارسال یک درخواست HTTP دستکاری شده از این آسیبپذیری سوء استفاده کند. نفوذ موفق به سیستم، اطلاعات حساس دستگاه را که شامل فایلهای پیکربندی شده است، در دسترس مهاجم قرار میدهد.
Cisco نسخههای بروزرسانی شدهای که این آسیبپذیری را برطرف میکند، ارائه کرده است. هیچ راهکاری برای از بین بردن این آسیبپذیری وجود ندارد.
محصولات آسیبپذیر
این آسیبپذیری تمام نسخههای x.1.3 ارائه شده مقدم بر نسخه 1.3.1.4 نرمافزار Cisco DNA Center را در معرض خطر قرار میدهد.
محصولاتی که آسیبپذیر نیستند
تنها محصولاتی که در قسمت محصولات آسیبپذیر این مطلب آمدهاند، به عنوان محصولات در معرض خطر شناخته شدهاند و سایر محصولات آسیبپذیر نیستند.
راهکارها
هیچ راهکاری برای رفع این آسیبپذیری وجود ندارد.
نسخه نرمافزاری اصلاحشده
Cisco نسخههای آپدیت شدهی رایگان نرمافزاری که آسیبپذیری شرح داده شده در این مطلب را رفع میکنند، منتشر کرده است. مشتریان تنها برای نسخههای نرمافزار و مجموعه ویژگیهای که لایسنس خریداری کردهاند، خدمات نصب و پشتیبانی دریافت میکنند. مشتریان با نصب، دانلود، دسترسی و یا استفاده از این نسخههای آپگرید شده، موافقت خود را نسبت به رعایت شرایط لایسنس نرمافزار Cisco اعلام مینمایند.
علاوه بر آن، مشتریان تنها زمانی میتوانند نرمافزار را دانلود کنند که دارای لایسنس معتبر خریداری شده بهطورمستقیم از Cisco یا از شریک یا نمایندگی معتبر Cisco باشند. دربسیاری از موارد این نسخه، یک نسخه اصلاحشده نرمافزاری خواهد بود که قبلا خریداری شدهاست. آپدیت رایگان جدید نرمافزار امنیتی، به معنی حق برخورداری مشتریان از مجوز جدیدی از نرمافزار، مجموعه ویژگیهای جدید نرمافزاری اضافه یا نسخههای ارتقاء یافتهی اصلاحشده نرمافزاری اصلی نیست.
در تمامی موارد، بهتر است مشتریان از وجود حافظه کافی در دستگاههای در آستانه آپگرید اطمینان حاصلکرده و پشتیبانی مناسب سختافزار و نرمافزار کنونی را در ادامه توسط نسخه جدید تایید کنند. درصورت مبهم بودن اطلاعات به مشتریان پیشنهاد میشود تا با Cisco Technical Assistance Center (TAC) یا با شرکتهای ارائه دهنده خدمات طرف قراردادشان تماس برقرارکنند.
مشتریانی که قراردارد دریافت خدمات ندارند
مشتریانی که به صورت مستقیم ازCisco خرید میکنند، اما قرداد دریافت خدمات Cisco ندارند، و مشتریانی که خرید خودرا از فروشندگان شخص ثالث انجام داده و موفق به کسب نسخه اصلاحشده نرمافزار از نقطه خرید خود نشدهاند باید با برقراری تماس با Cisco TAC از طریق این لینک نسخه ارتقاء یافته را دریافت نمایند.
مشتریان ملزم به داشتن شماره سریال محصول و همچنین آمادگی برای ارائه URL این مطلب به عنوان مدرک، بهمنظور اثبات استحقاق برای دریافت نسخه آپگرید شده، میباشند.
نسخههای اصلاحشده
این آسیبپذیری در نسخهی 1.3.1.4 و نسخههای بعد از آن از نرمافزار Cisco DNA Center برطرف شدهاست.
نرمافزار Cisco DNA Center یک ابزار فیزیکی اختصاصی است که از Cisco به همراه تصویر از پیش نصب شده DNA Center ISO، خریداری شدهاست. آپدیتهای سیستمی برای نصب از Cisco Cloud در دسترس هستند، اما برای دانلود از Software Center در Cisco.com در دسترس نیستند. برای آپگرید به نسخه اصلاحشده نرمافزار Cisco DNA Center، ادمینها میتوانند از ویژگی System Updates نرمافزار استفاده کنند.
سوء استفاده از آسیبپذیری و اطلاعیههای عمومی
تیم واکنش به حوادث امنیتی Cisco Product هیچگونه اطلاعی از اطلاعیههای عمومی و استفادههای مخرب از آسیبپذیری توصیف شده در این مطلب ندارد.