27/06/2019 di Redazione

Allerta sicurezza: patch richieste per gli switch di Cisco

Due vulnerabilità critiche interessano alcune versioni di Cisco Data Center Network Manager e, conseguentemente, gli apparati di rete con sistema operativo NX-OS. Gli aggiornamenti che le risolvono sono già disponibili.

immagine.jpg

Nuovi problemi di sicurezza per i software e, conseguentemente, per l’hardware di Cisco. Qualche giorno fa l’azienda aveva comunicato la presenza di una vulnerabilità critica (indicata come CVE-2019-1848 e associata a un punteggio di gravità di 9,3) nel software dell’appliance DNA Center, e più precisamente nelle versioni precedenti alla 1.3. Si trattava di una falla nel meccanismo di autenticazione, che potenzialmente permetteva di collegare a una rete dei dispositivi non verificati. Parliamo al passato perché Cisco ha prontamente rilasciato un aggiornamento che, una volta installato, risolve il problema.

 

Ora, però, l’azienda ha nuovamente dovuto riferire la presenza di altre due vulnerabilità critiche, identificate come CVE-2019-1619 e CVE-2019-1620, e presenti all’interno dell’interfaccia Web Cisco Data Center Network Manager (Dcnm). Quest’ultima viene utilizzata per gestire i dispositivi delle sale macchine con sistema operativo NX-OS, principalmente gli switch. Rispettivamente, i due bug riguardano le versioni di Data Center Network Manager precedenti alla numero 11.1(1) e in quelle precedenti alla release 11.2(1). 

 

La vulnerabilità CVE-2019-1619 permette potenzialmente di lanciare attacchi da remoto scavalcando l’autenticazione, e dunque di ottenere privilegi di amministratore sui dispositivi del data center. Un attaccante potrebbe, per esempio, inviare richieste Http verso il dispositivo.

 

Il bug indicato come CVE-2019-162 potrebbe anch’esso fungere da volano per attacchi da remoto, finalizzati in questo caso a caricare sui dispositivi bersagli dei file. Permetterebbe, quindi, di manomettere il filesystem ed eseguire codice con privilegi root. Per entrambe le vulnerabilità sono già disponibili aggiornamenti da installare.

 

ARTICOLI CORRELATI