Összefoglaló
A Cisco Network Assurance Engine (NAE) magas kockázati besorolású sérülékenysége vált ismertté, mely lehetőséget biztosít a helyi, nem autentikált támadó számára, hogy jogtalanul hozzáférést szerezzen, vagy túlterhelje a célszervert.
Leírás
A sérülékenység a NAE jelszókezelő rendszerének hibájából ered. A támadó úgy tudja kihasználni ezt a hibát, ha bejelentkezik az alapértelmezett adminisztrátor jelszóval a CLI-n (Command Line Interface) keresztül az érintett szerverre. A támadás sikeres végrehajtását követően a támadó érzékeny adatokhoz férhet hozzá, vagy túlterhelheti a célszervert, amely elérhetetlenné válik a támadást követően.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Privilege escalation (jogosultság kiterjesztés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2019-1688 - NVD CVE-2019-1688