В Cisco Digital Network Architecture (DNA) Center виявлені дві небезпечні уразливості, що дозволяють обійти аутентифікацію.
З їх допомогою хакер з фізичним доступом до обладнання може обійти процес аутентифікації і завдати шкоди внутрішнім критичним сервісам організації.
DNA Center дозволяє адміністраторам додавати в мережу нові пристрої і керувати ними відповідно до корпоративної політики.
Уразливість CVE-2019-1848 існує через недостатнє обмеження доступу до портів, що використовується для управління системою. З її допомогою зловмисник може підключити до мережі неавторизований пристрій і отримати доступ до сервісів, що не призначені для сторонніх. Небезпека уразливості оцінюється в 9,3 бала з 10. Проблема зачіпає версії DNA Center до 1.3.
Друга уразливість, CVE-2019-1625, пов’язана з інтерфейсом командного рядка рішення Cisco SD-WAN. З її допомогою авторизований хакер з доступом до обладнання може підвищити свої привілеї на уразливому пристрої до рівня суперкористувача.
Проблема зачіпає Cisco vBond Orchestrator Software, vEdge Series Routers серій 100, 1000, 2000, і 5000, vEdge Cloud Router Platform, vManage Network Management Software і vSmart Controller Software. Перераховані вище продукти є уразливими у разі, якщо вони працюють на базі рішення Cisco SD-WAN до версій 18.3.6, 18.4.1 та 19.1.0.
Обидві уразливості були виявлені фахівцями Cisco під час внутрішнього тестування і не експлуатуються в реальних атаках.
Нагадаємо, компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.
Також додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.
Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.