Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/09/06

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• RV110W Wireless-N VPN Firewall, bertsio guztiak
• RV130W Wireless-N Multifunction VPN Router, bertsio guztiak
• RV215W Wireless-N VPN Router, bertsio guztiak
• Servicio Cisco Umbrella
• Cisco Webex Meetings Suite (WBS31), (WBS32) eta (WBS33)
• Cisco Webex Meetings
• Cisco Webex Meetings Server
• Cisco Webex Teams, 20180417-150803 baino lehenagoko bertsiodunak
• Cisco Umbrella ERC, 2.1.127 baino lehenagoko bertsiodunak
• Cisco Umbrella Roaming Module, 4.6.1098 baino lehenagoko bertsiodunak
• vEdge 100 serieko routerrak, 18.3.0 baino lehenagoko bertsiodunak
• vEdge 1000 serieko routerrak, 18.3.0 baino lehenagoko bertsiodunak
• vEdge 2000 serieko routerrak, 18.3.0 baino lehenagoko bertsiodunak
• vEdge 5000 serieko routerrak, 18.3.0 baino lehenagoko bertsiodunak
• vManage Network Management System, 18.3.0 baino lehenagoko bertsiodunak
• vEdge Cloud Router Platform, 18.3.0 baino lehenagoko bertsiodunak
• vSmart Controller Software, 18.3.0 baino lehenagoko bertsiodunak
• vBond Orchestrator Software, 18.3.0 baino lehenagoko bertsiodunak
• Cisco Prime Access Registrar, bertsio guztiak, eta Cisco Prime Access Registrar Jumpstar, 7.3.0.4 eta 8.0.1.1 baino lehenagoko bertsioak
• C serieko UCS zerbitzariak, Cisco IMCren honako softwarea exekutatzen dutenak: 2.0 bertsioa, 3.0 bertsioa baldin eta 3.0 (4d) bertsioa baino lehenagokoa bada, edo 3.1 bertsioa baldin eta 3.1 (3a) bertsioa baino lehenagokoa bada
• E serieko UCS zerbitzariak, Cisco IMC softwarearen 3.2 (6) bertsioa baino lehenagokoa exekutatzen dutenak
• 5000 serieko sare sistema enpresarialaren (ENCS) plataformak, Cisco IMC softwarearen 3.2 (6) bertsioa baino lehenagokoa exekutatzen dutenak
• Cisco Data Center Network Manager, 11.0 (1) baino lehenagoko bertsiodunak
• Cisco Webex Player
• Cisco Tetration Analytics
• Cisco Packaged Contact Center Enterprise
• Cisco Prime Collaboration Assurance
• Cisco Network Services Orchestrator (NSO)
• Cisco Enterprise NFV Infrastructure Software (NFVIS)
• Cisco Meeting Server
• Cisco Email Security Appliance (ESA)
• Cisco Cloud Services Platform 2100
• Cisco Secure Access Control Server, 5.8 (10) baino lehenagoko bertsiodunak

Azalpena:

Ciscok bere hainbat produkturi buruzko 29 ahultasun argitaratu ditu, horietatik 2 larritasun kritikokoak, 13 larritasun altukoak eta 14 larritasun ertainekoak.

Konponbidea:

RV110W Wireless-N VPN Firewall eta RV215W Wireless-N VPN Router produktuen kasuan, Ciscok ez du argitaratuko ahultasun horiek konpontzeko firmware eguneraketarik.

Ciscok erabiltzaileen eskura jarri ditu hainbat eguneraketa, kaltetutako produktuaren arabera. Lotura honetan eskura daitezke:

• Software Ciscoren deskarga panela

Xehetasuna:

Larritasun kritikoa duten ahultasunak honakoak dira:

• Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router eta Cisco RV215W Wireless-N VPN Router-en web administrazioko interfazeak duen ahultasun bat baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek zerbitzuaren ukapena eragin lezake edo kode arbitrarioa exekutatu. Ahultasun horren arrazoia web administrazioko interfazearen barnean erabiltzaile gonbidatuaren funtzioan erabiltzaileak emandako sarrerako mugen murrizpen okerrak dira. Gailuak arriskuan egoten dira web administrazioaren interfazearen erabiltzaile gonbidatua gaituta dagoenean soilik. Ahultasun horretarako CVE-2018-0423 identifikatzailea erreserbatu da.
• Ciscoren Umbrella APIak duen ahultasun bat baliatuz, urruneko erasotzaile autentifikatu batek bere erakundean edo beste erakunde batzuetan datuak ikus eta alda litzake. Horren arrazoia da API interfazerako autentifikazioaren konfigurazio ez aski bat. Ahultasun horretarako CVE-2018-0435 identifikatzailea erreserbatu da.

Gainerako ahultasunetarako, honako identifikatzaileak erreserbatu dira: CVE-2018-0422, CVE-2018-0436, CVE-2018-0437 CVE-2018-0438, CVE-2018-0434, CVE-2018-0433, CVE-2018-0432, CVE-2018-0426, CVE-2018-0424, CVE-2018-0425, CVE-2018-0421, CVE-2018-0430, CVE-2018-0431, CVE-2018-0440 CVE-2018-0457, CVE-2018-0452, CVE-2018-0451, CVE-2018-0444, CVE-2018-0445, CVE-2018-0458, CVE-2018-0463, CVE-2018-0459, CVE-2018-0447, CVE-2018-0460, CVE-2018-0462, CVE-2018-0439, CVE-2018-0450, CVE-2018-0454 eta CVE-2018-0414.