Cisco предупреждает об уязвимостях безопасности HyperFlex

February 22, 2019

Слабые места в оборудовании Cisco HyperFlex для гиперконвергентных центров обработки данных могут допускать эксплойты с использованием команд.

На этой неделе Cisco определила две «высокие» уязвимости безопасности в своем пакете центра обработки данных HyperFlex, которые могут позволить злоумышленникам получить контроль над системой.

HyperFlex - это гиперконвергентная инфраструктура Cisco, предлагающая вычислительные ресурсы, сетевые ресурсы и ресурсы хранения в единой системе.

Наиболее критичным из этих двух предупреждений - 8,8 по шкале серьезности Cisco от 1 до 10 - является уязвимость внедрения команд в диспетчере службы кластеров программного обеспечения Cisco HyperFlex, которая может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять команды от имени пользователя root.

«Злоумышленник может воспользоваться этой уязвимостью, подключившись к диспетчеру службы кластеров и внедрив команды в связанный процесс», - пишет Cisco в своей рекомендации по безопасности.

Cisco утверждает, что уязвимость вызвана недостаточной проверкой входных данных в выпусках программного обеспечения Cisco HyperFlex до 3.5.

Такой ввод может повлиять на поток управления или поток данных программы и вызвать ряд проблем управления ресурсами. Cisco выпустила обновление программного обеспечения для устранения этой уязвимости и сообщила, что других способов обхода этой уязвимости не существует.

Вторая уязвимость с рейтингом 8.1 по шкале Cisco - это ошибка в сервисе hxterm программного обеспечения Cisco HyperFlex, которая может позволить злоумышленнику подключиться к сервису как непривилегированный локальный пользователь. В соответствии с рекомендациями по безопасности удачный эксплойт может позволить злоумышленнику получить корневой доступ ко всем узлам-членам кластера HyperFlex в версиях программного обеспечения Cisco HyperFlex до версии 3.5.

Cisco заявила, что выпустила обновления программного обеспечения, которые устраняют обе уязвимости. Клиенты могут скачать его с Cisco.

Cisco также выпустила три другие угрозы «среднего» уровня вокруг программного обеспечения Hyperflex, связанные с межсайтовым скриптингом (XSS), произвольными данными и недостатками службы Graphite. Но он не предложил никаких обходных путей или исправлений для этих проблем.

Недавно Cisco расширила свой гиперконвергентный пакет с HyperFlex для Branch или Hyperflex 4.0, который позволит клиентам расширить систему до филиалов или на границе клиентской сети. Другими словами, он переносит производительность и управление приложениями класса центров обработки данных в филиалы и удаленные узлы, предоставляя аналитические и интеллектуальные услуги на уровне предприятия, отмечает Cisco.

Уязвимости Hyperflex были частью подборки из 17 статей с советами по безопасности и предупреждениями, выпущенными компанией.