Слабые места в оборудовании Cisco HyperFlex для гиперконвергентных центров обработки данных могут допускать эксплойты с использованием команд.
На этой неделе Cisco определила две «высокие» уязвимости безопасности в своем пакете центра обработки данных HyperFlex, которые могут позволить злоумышленникам получить контроль над системой.
HyperFlex - это гиперконвергентная инфраструктура Cisco, предлагающая вычислительные ресурсы, сетевые ресурсы и ресурсы хранения в единой системе.
Наиболее критичным из этих двух предупреждений - 8,8 по шкале серьезности Cisco от 1 до 10 - является уязвимость внедрения команд в диспетчере службы кластеров программного обеспечения Cisco HyperFlex, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять команды от имени пользователя root.
«Злоумышленник может воспользоваться этой уязвимостью, подключившись к диспетчеру службы кластеров и внедрив команды в связанный процесс», - пишет Cisco в своей рекомендации по безопасности.
Cisco утверждает, что уязвимость вызвана недостаточной проверкой входных данных в выпусках программного обеспечения Cisco HyperFlex до 3.5.
Такой ввод может повлиять на поток управления или поток данных программы и вызвать ряд проблем управления ресурсами. Cisco выпустила обновление программного обеспечения для устранения этой уязвимости и сообщила, что других способов обхода этой уязвимости не существует.
Вторая уязвимость с рейтингом 8.1 по шкале Cisco - это ошибка в сервисе hxterm программного обеспечения Cisco HyperFlex, которая может позволить злоумышленнику подключиться к сервису как непривилегированный локальный пользователь. В соответствии с рекомендациями по безопасности удачный эксплойт может позволить злоумышленнику получить корневой доступ ко всем узлам-членам кластера HyperFlex в версиях программного обеспечения Cisco HyperFlex до версии 3.5.
Cisco заявила, что выпустила обновления программного обеспечения, которые устраняют обе уязвимости. Клиенты могут скачать его с Cisco.
Cisco также выпустила три другие угрозы «среднего» уровня вокруг программного обеспечения Hyperflex, связанные с межсайтовым скриптингом (XSS), произвольными данными и недостатками службы Graphite. Но он не предложил никаких обходных путей или исправлений для этих проблем.
Недавно Cisco расширила свой гиперконвергентный пакет с HyperFlex для Branch или Hyperflex 4.0, который позволит клиентам расширить систему до филиалов или на границе клиентской сети. Другими словами, он переносит производительность и управление приложениями класса центров обработки данных в филиалы и удаленные узлы, предоставляя аналитические и интеллектуальные услуги на уровне предприятия, отмечает Cisco.
Уязвимости Hyperflex были частью подборки из 17 статей с советами по безопасности и предупреждениями, выпущенными компанией.