Cisco Network Assurance Engine sérülékenység


2019. február 15. 11:01

CH azonosító

CH-14543

Angol cím

Cisco Network Assurance Engine CLI Access with Default Password Vulnerability

Felfedezés dátuma

2019.02.12.

Súlyosság

Magas

Érintett rendszerek

CISCO

Érintett verziók

Cisco Network Assurance Engine 3.0(1)

Összefoglaló

A Cisco Network Assurance Engine (NAE) magas kockázati besorolású sérülékenysége vált ismertté, mely lehetőséget biztosít a helyi, nem autentikált támadó számára, hogy jogtalanul hozzáférést szerezzen, vagy túlterhelje a célszervert.

Leírás

A sérülékenység a NAE jelszókezelő rendszerének hibájából ered. A támadó úgy tudja kihasználni ezt a hibát, ha bejelentkezik az alapértelmezett adminisztrátor jelszóval a CLI-n (Command Line Interface) keresztül az érintett szerverre. A támadás sikeres végrehajtását követően a támadó érzékeny adatokhoz férhet hozzá, vagy túlterhelheti a célszervert, amely elérhetetlenné válik a támadást követően.

Támadás típusa

Deny of service (Szolgáltatás megtagadás)
Privilege escalation (jogosultság kiterjesztés)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-1688 - NVD CVE-2019-1688

Legfrissebb sérülékenységek
CVE-2023-6448 – Unitronics Vision Series PLC sérülékenysége
CVE-2023-33106 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-33107 – Qualcomm Multiple Chipsets sérülékenysége
CVE-2023-33063 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
Tovább a sérülékenységekhez »