Cisco исправила критические ошибки предварительной аутентификации в SD-WAN, облачном диспетчере лицензий

Cisco выпустила обновления безопасности для устранения уязвимостей удалённого выполнения кода (RCE) до авторизации, затрагивающих несколько продуктов SD-WAN и программное обеспечение Cisco Smart Software Manager.

Cisco исправила критические ошибки в облачном диспетчере лицензий. Фото: Pixabay

SD-WAN — это программные продукты, которые помогают управлять глобальными сетями (WAN), а Smart Software Manager — это облачное решение для управления лицензиями Cisco.

Злоумышленники, не прошедшие проверку подлинности, могут удалённо использовать ошибки переполнения буфера и внедрения команд для выполнения произвольного кода или выполнения произвольных команд в базовой операционной системе устройств, на которых запущены уязвимые версии программного обеспечения SD-WAN и Cisco Smart Software Manager Satellite.

Выпуски программного обеспечения Cisco SD-WAN, уязвимые для атак RCE до авторизации, разработанные для использования CVE-2021-1300, включают:

Программное обеспечение IOS XE SD-WAN.
Программное обеспечение SD-WAN vBond Orchestrator.
Облачные маршрутизаторы SD-WAN vEdge.
SD-WAN vEdge-маршрутизаторы.
Программное обеспечение SD-WAN vManage.
Программное обеспечение SD-WAN vSmart Controller.

Уязвимости RCE получили коды CVE-2021-1138, CVE-2021-1140 и CVE-2021-1142. Им подвержены выпуски Cisco Smart Software Manager Satellite 5.1.0 и ранние версии.

Cisco устранила ошибки в версиях 6.3.0 и новее и переименовала Cisco Smart Software Manager Satellite в Cisco Smart Software Manager On-Prem.

Читайте в тему:

Уязвимости были обнаружены исследователями безопасности Cisco во время внутреннего тестирования уязвимых продуктов.

Как сообщал Startpack, ранее в Cisco скрыли 12 критических уязвимостей Security Manager.

Startpack также подготовил инструментарий для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия.