Technews Uncategorized

Cisco memperingatkan tentang kerentanan keamanan HyperFlex

Kelemahan pada peralatan pusat data Hyperconlex HyperFlex Cisco dapat memungkinkan eksploitasi injeksi perintah.

Cisco minggu ini mengidentifikasi dua kerentanan keamanan “Tinggi” dalam paket pusat data HyperFlex yang memungkinkan penyerang mendapatkan kendali atas sistem.

HyperFlex adalah infrastruktur hyperconverged Cisco yang menawarkan sumber daya komputasi, jaringan, dan penyimpanan dalam satu sistem.

Yang lebih kritis dari dua peringatan – 8,8 pada skala keparahan Cisco 1-10 – adalah kerentanan perintah-injeksi di manajer layanan kluster dari Cisco HyperFlex Software yang dapat membiarkan penyerang yang tidak terauthentikasi melakukan perintah sebagai pengguna root.

“Seorang penyerang dapat mengeksploitasi kerentanan ini dengan menghubungkan ke manajer layanan cluster dan menyuntikkan perintah ke dalam proses terikat,” catat Cisco dalam Security Advisory-nya.

Cisco mengatakan bahwa kerentanan ini disebabkan oleh validasi input yang tidak mencukupi dalam rilis perangkat lunak Cisco HyperFlex sebelum 3.5.

Masukan tersebut dapat berdampak pada aliran kontrol atau aliran data suatu program dan menyebabkan sejumlah masalah pengendalian sumber daya. Cisco telah merilis pembaruan perangkat lunak untuk mengatasi kerentanan ini dan mengatakan bahwa tidak ada solusi lain untuk mengatasi paparan ini.

Kerentanan kedua – berperingkat 8.1 pada skala Cisco – adalah snafu dalam layanan hxterm dari Cisco HyperFlex Software yang dapat membuat penyerang terhubung ke layanan sebagai pengguna lokal yang tidak memiliki hak istimewa. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk mendapatkan akses root ke semua node anggota dari cluster HyperFlex dalam rilis perangkat lunak Cisco HyperFlex sebelum 3.5, menurut penasihat keamanan.

Cisco mengatakan telah merilis pembaruan perangkat lunak yang membahas kedua kerentanan. Pelanggan dapat mengunduhnya dari Cisco.

Cisco juga merilis tiga ancaman tingkat “Sedang” lainnya di sekitar perangkat lunak Hyperflex yang berkaitan dengan cross-site scripting (XSS), data sewenang-wenang dan kelemahan layanan Graphite. Tapi itu tidak memberikan solusi atau perbaikan untuk masalah itu.

Cisco baru-baru ini memperluas paket hyperconverged-nya dengan HyperFlex for Branch atau Hyperflex 4.0, yang akan memungkinkan pelanggan memperluas sistem ke kantor cabang atau di tepi jaringan pelanggan. Dengan kata lain, ini memindahkan kinerja aplikasi dan pusat data kelas data ke kantor cabang dan situs terpencil, memungkinkan analitik dan layanan cerdas di sisi perusahaan, kata Cisco.

Kerentanan Hyperflex adalah bagian dari dump 17 item dari Security Advisories and Alerts yang dikeluarkan oleh perusahaan.

Leave a Reply

Your email address will not be published. Required fields are marked *