Специалисты Cisco выявили несколько уязвимостей в своих облачных продуктах. С их помощью злоумышленник может получать доступ к целевой системе и суперпользовательские права, а также выполнять произвольный код.
Так, в облачном контроллере Cisco Elastic Services Controller обнаружены вшитые логин и пароль администратора. Пользователь, не прошедший авторизацию, может дистанционно извлечь учетную информацию и заполучить полный доступ к системе. Данная проблема присутствует во всех версиях Elastic Services Controller до 2.3.1.434 и 2.3.2.
Кроме того, в этом контроллере выявлена уязвимость, которая позволяет пользователю, прошедшему авторизацию, дистанционно повышать права на системе до суперпользовательских и выполнять команды на сервере. Проблема затрагивает все версии Elastic Services Controller до 2.3.1.434 и 2.3.2.
Три серьезные ошибки найдены в системе автоматизации Cisco Ultra Services Framework (USF). Первая из них связана с функционалом создания ссылок (symlink) в утилите AutoVNF. Благодаря уязвимости, пользователь, не прошедший авторизацию, может читать важные файлы и выполнять код на системе. Проблема присутствует во всех версиях Ultra Services Framework до 5.0.3 и 5.1.
Другая уязвимость в AutoVNF дает возможность пользователю, не прошедшему авторизацию, дистанционно извлекать учетную информацию администратора для решений Cisco Elastic Services Controller и Cisco OpenStack. Проблема присутствует во всех версиях Ultra Services Framework до 5.0.3 и 5.1.
Еще одна уязвимость была найдена в компоненте Ultra Automation Service (UAS), входящем в состав Cisco Ultra Services Framework. Ошибка дает пользователю, не прошедшему авторизацию, дистанционно получать доступ к целевому устройству. Уязвимость содержится во всех версиях Ultra Services Framework до 5.0.3 и 5.1.
Cisco уже выпустила патчи, ликвидирующие указанные выше уязвимости. Эксперты советуют оперативно установить данные обновления.
