Cisco DCNM 多个超危和高危漏洞分析及修复指南

Cisco DCNM 多个超危和高危漏洞分析及修复指南 漏洞概述 Cisco于2020年1月2日发布了六则安全公告，修复了Data Center Network Manager (DCNM)产品中的多个安全漏洞，其中包括3个超危漏洞和7个高危漏洞。这些漏洞由SourceIncite公司的安全研究人员Steven Seeley发现，影响DCNM Release 11.3(1)之前的所有版本。 受影响产品 Cisco Data Center Network Manager (DCNM) 11.3(1)之前的所有版本 包括虚拟设备、Windows和Red Hat Linux安装包 漏洞详情 超危漏洞 (Critical) 1. CVE-2019-15975 位置 : REST API端点 原因 : 安装程序之间共享静态加密密钥 影响 : 远程攻击者可获得管理员权限并执行任意操作 CVSS评分 : 9.8 2. CVE-2019-15976 位置 : SOAP API端点 原因 : 安装程序之间共享静态加密密钥 影响 : 远程攻击者可获得管理员权限并执行任意操作 CVSS评分 : 9.8 3. CVE-2019-15977 位置 : 基于Web的管理界面 原因 : 存在静态凭据 影响 : 攻击者可获取设备中的机密信息 CVSS评分 : 9.8 高危漏洞 (High) 1. CVE-2019-15978 类型 : 命令注入漏洞 位置 : REST API端点 影响 : 远程攻击者可在底层操作系统上注入任意命令 前提 : 需要管理员权限 2. CVE-2019-15979 类型 : 命令注入漏洞 位置 : SOAP API端点 影响 : 远程攻击者可在底层操作系统上注入任意命令 前提 : 需要管理员权限 3. CVE-2019-15980 类型 : 路径遍历漏洞 位置 : REST API端点 影响 : 远程攻击者可读取、写入或执行系统中的任意文件 前提 : 需要管理员权限 4. CVE-2019-15981 类型 : 路径遍历漏洞 位置 : SOAP API端点 影响 : 远程攻击者可读取、写入或执行系统中的任意文件 前提 : 需要管理员权限 5. CVE-2019-15982 类型 : 路径遍历漏洞 位置 : Application Framework功能 影响 : 远程攻击者可读取、写入或执行系统中的任意文件 前提 : 需要管理员权限 6. CVE-2019-15984 类型 : SQL注入漏洞 影响 : 远程攻击者可在受影响的设备上执行任意SQL命令 前提 : 需要管理员权限 7. CVE-2019-25985 类型 : SQL注入漏洞 影响 : 远程攻击者可在受影响的设备上执行任意SQL命令 前提 : 需要管理员权限 攻击场景 攻击者可能将三个超危漏洞与七个高危漏洞结合利用： 首先利用超危漏洞(CVE-2019-15975/15976/15977)获取管理员权限 然后利用高危漏洞执行任意命令、文件操作或SQL注入 修复方案 官方解决方案 升级到Cisco DCNM Release 11.3(1)或更高版本 从Cisco官网下载并应用安全更新 临时缓解措施 (如无法立即升级) 限制对DCNM管理界面的网络访问 仅允许可信IP地址访问管理界面 配置防火墙规则限制访问 加强认证机制 使用强密码策略 启用多因素认证(如支持) 监控异常活动 检查日志中是否有可疑的API调用 监控系统是否有异常文件操作或命令执行 漏洞状态 截至公告发布时(2020年1月3日)，Cisco表示尚未发现这些漏洞在野被利用。 参考链接 Cisco安全公告(需替换为实际链接) CVE详细信息(需替换为实际链接) DCNM 11.3(1)下载页面(需替换为实际链接) 后续行动建议 立即评估环境中是否存在受影响版本的DCNM 制定升级计划，优先处理暴露在互联网上的系统 如无法立即升级，实施临时缓解措施 持续监控安全公告，获取最新信息