Spoločnosť Cisco opravila 2 zraniteľnosti v softvéri HyperFlex HX

10. mája 2021

V softvéri Cisco HyperFlex HX boli nájdené a opravené 2 zraniteľnosti. Vo všeobecnosti tieto chyby môžu útočníkovi umožniť vzdialene vykonať ľubovoľný kód ako administrátor alebo používateľ tomcat8. Zraniteľné sú zariadenia Cisco so softvérom HyperFlex HX verzie 4.0, 4.5 a nižšej ako 4.0.

Dôsledky

Vzdialené vykonanie kódu v kontexte administrátora alebo používateľa tomcat8

Opis činnosti
CVE-2021-1497, CVE-2021-1498

V softvéri Cisco HyperFlex HX boli opravené 2 zraniteľnosti, pričom 1 z nich je kritická. Obe chyby je možné zneužiť zaslaním špeciálne vytvorenej požiadavky do webového rozhrania určeného na správu. Jedná sa o zraniteľnosti umožňujúce vkladanie príkazov (command injection).

Kritická zraniteľnosť CVE-2021-1497 dosahuje CVSS skóre 9.8. Je spôsobená nedostatočným overovaním vstupu dodaného používateľom. Úspešným zneužitím by útočník mohol byť schopný vykonávať ľubovoľné príkazy na zraniteľnom zariadení s administrátorskými oprávneniami.

Závažná zraniteľnosť CVE-2021-1498 má CVSS skóre 7.3. Tiež je spôsobená nedostatočným overovaním vstupu dodaného používateľom. Úspešným zneužitím by útočník mohol byť schopný vykonávať ľubovoľné príkazy na zraniteľnom zariadení ako používateľ tomcat8.

Zraniteľné sú zariadenia Cisco so softvérom HyperFlex HX verzie 4.0, 4.5 a nižšej ako 4.0.

Zraniteľné systémy

Cisco HyperFlex HX verzie nižšej ako 4.0, verzie 4.0 a 4.5

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania

Odporúčame softvér HyperFlex HX verzie

nižšej ako 4.0 migrovať na verziu 4.0(2e)
4.0 aktualizovať na 4.0(2e)
4.5 aktualizovať na 4.5(1b)

Odkazy
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR
https://www.securityweek.com/cisco-patches-critical-flaws-sd-wan-hyperflex-hx-products
https://thehackernews.com/2021/05/critical-flaws-hit-cisco-sd-wan-vmanage.html