Cisco Network Assurance Engine sérülékenység

CH azonosító

CH-14543

Angol cím

Cisco Network Assurance Engine CLI Access with Default Password Vulnerability

Felfedezés dátuma

2019.02.12.

Súlyosság

Magas

Érintett rendszerek

CISCO

Érintett verziók

Cisco Network Assurance Engine 3.0(1)

Összefoglaló

A Cisco Network Assurance Engine (NAE) magas kockázati besorolású sérülékenysége vált ismertté, mely lehetőséget biztosít a helyi, nem autentikált támadó számára, hogy jogtalanul hozzáférést szerezzen, vagy túlterhelje a célszervert.

Leírás

A sérülékenység a NAE jelszókezelő rendszerének hibájából ered. A támadó úgy tudja kihasználni ezt a hibát, ha bejelentkezik az alapértelmezett adminisztrátor jelszóval a CLI-n (Command Line Interface) keresztül az érintett szerverre. A támadás sikeres végrehajtását követően a támadó érzékeny adatokhoz férhet hozzá, vagy túlterhelheti a célszervert, amely elérhetetlenné válik a támadást követően.