思科DNA Center设备存在三个严重漏洞，均可导致被远程控制

思科发布更新解决了 DNA（数字网络架构，Digital Network Architecture）Center设备中的三个严重漏洞。

思科表示，思科直销给用户的网络管理和管理员盒子 DNA Center 中存在三个漏洞，其中每个漏洞皆可导致设备遭远程控制。

其中最严重的可能是设备中存在的静态管理员凭证。显然，攻击者只要拥有这些凭证，就能完全轻松接管目标设备。

思科解释称，“该漏洞产生的原因是，受影响软件的默认管理员账户存在未记录的静态用户凭证。漏洞如遭利用，则可导致攻击者登录受影响系统并以跟权限执行任意命令。”

这是让思科头疼且尴尬的一个问题。3月，Switchzilla 被指在 IOS 平台上遗留静态凭证，而近年来另外一些网络设备中被指存在硬编码密码。

如果你的设备上并不存在静态管理员凭证，那么 DNA Center 也可遭 CVE-2018-0271 攻击。

该漏洞因不良 URL 处理而存在，它可导致攻击者将攻击代码内嵌到 URL 字段中并绕过能“访问关键服务”的登录控制。

此外，思科还修复了 DNA Center 在处理 Kubernetes 容器中存在的漏洞 CVE-2018-0268。该漏洞可导致攻击者绕过容器实例本身内部的安全保护措施。

思科警告称，“能够访问 Kubernetes 服务端口的攻击者将以提升后的权限在所提供的容器中执行命令。成功利用该漏洞可导致受影响容易被完全攻陷。”

思科正在通过主板系统更新工具为三个漏洞问题推出更新。管理员应升级至版本 1.1.3 以确保问题已修复。

本文由360代码卫士翻译自TheRegister

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。