В Cisco DNA Center найден бэкдор-аккаунт, патчи уже доступны

В Cisco DNA Center найден бэкдор-аккаунт, патчи уже доступны

В Cisco DNA Center найден бэкдор-аккаунт, патчи уже доступны

На днях Cisco оповестила пользователей о трех уязвимостях, получивших статус критических (10 баллов из 10 по шкале CVSSv3). Одна из брешей представляет собой наличие бэкдор-аккаунта в Cisco DNA Center.

Проблемы безопасности в довольно сложном программном обеспечении удалось обнаружить благодаря грамотному аудиту, проведенному специалистами Cisco.

Первую из уязвимостей, получившую идентификатор CVE-2018-0222, проще всего проэксплуатировать, Cisco описывает ее как «недокументированные статические учетные данные для аккаунта администратора», что является, по сути, неким аккаунтом-бэкдором.

Компания не указала имя пользователя и пароль от этой учетной записи, однако уточнила, что эти данные могут быть использованы злоумышленником для повышения привилегий.

Известных способов деактивации этого аккаунта не существует, так что рекомендуется как можно скорее применить выпущенные компанией патчи.

Вторая уязвимость — CVE-2018-0268 — позволяет обойти процесс аутентификации подсистемы Kubernetes, встроенной в Cisco DNA Center.

«Имеющий доступ к служебному порту Kubernetes злоумышленник может выполнить команды с повышенными привилегиями», — пишет Cisco. — «Удачная эксплуатация может привести к полной компрометации затронутых контейнеров».

Как и в случае с предыдущей брешью, обходных путей для ее устранения нет, придется обновляться.

Последняя, но от этого не менее важная, брешь CVE-2018-0271. Этот недостаток позволяет обойти аутентификацию API DNA Center.

«Баг обусловлен неспособностью упорядочить URL-адреса. Злоумышленник может использовать эту брешь, отправив специально сформированный URL», — объясняют эксперты. — «Удачная эксплуатация этой проблемы позволит атакующему получить неаутентифицированный доступ к критическим службам, что приведет к повышению привилегий в DNA Center».

Cisco устранила все три проблемы в DNA Center v1.1.3.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Positive Technologies разместила облигации на 10 млрд рублей

Positive Technologies (ПАО «Группа Позитив», MOEX: POSI) завершила размещение нового выпуска облигаций на 10 млрд рублей. Срок обращения — 2,8 года (1020 дней), купон — 18% с выплатой каждые 30 дней. Основная цель размещения — рефинансирование долгов и снижение доли банковских кредитов.

Спрос на бумаги оказался в 2,5 раза выше планируемого объёма. Почти треть заявок (28%) пришлась на розничных инвесторов. Организаторами размещения выступили Альфа-Банк, ВТБ, Газпромбанк, Сбер, ИБ Синара и Совкомбанк.

В компании подчёркивают, что ставка сделана на облигации как на более стабильный и предсказуемый инструмент заимствования. Размещение позволит оптимизировать долговую нагрузку и снизить затраты на обслуживание кредитов.

В июне 2025 года рейтинговое агентство «Эксперт РА» подтвердило кредитный рейтинг компании на уровне ruAA. В отчёте отмечаются устойчивые позиции на рынке, высокая рентабельность и ликвидность, а также низкий уровень корпоративных рисков.

С 27 июня облигации доступны на вторичном рынке. Номинал одной бумаги — 1 000 рублей. Приобрести их можно через брокера.

В начале месяца мы писали, что Positive Technologies представила решение по кибербезопасности для открытой платформы промышленной автоматизации (АСУ ТП). А в мае копания похвасталась, что будет развивать кибербезопасность в вузах Индонезии.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru