思科在官網公告,Elastic Services Controller的3.0.0軟體存在嚴重認證漏洞,駭客不須輸入密碼,即可進入服務入口頁面。使用者應儘速更新軟體至3.1.0版本

這個被思科列為危險等級代號CVE-2018-0121的漏洞,發生在思科Elastic Services Controller 3.0.0版本的軟體,其提供的服務入口網頁讓駭客不需認證,即可遠端操作任何管理員權限動作。思科解釋,這是由於軟體所提供的服務入口網頁沒有適當的安全限制造成。

當服務入口頁面彈出要求輸入管理員密碼時,駭客只要密碼欄留空送出,不須任何破解動作,便能輕鬆取得管理員權限,操作所有管理員能夠執行的命令。思科已經釋出更新軟體3.1.0,要求使用者儘速更新,並強調除此之外沒有任何方法可以解決這個問題。

Elastic Services Controller是思科單點管理動態環境中,通用虛擬網路功能(Virtual Network Functions,VNF)生命週期的服務,包括監控虛擬機器與服務,或是自動恢復與自動擴展。


Advertisement

更多 iThome相關內容