PT-2022-6378 · Cisco · Cisco Fxos+1
Nate Mcdonald
+1
·
Publicado
2022-10-27
·
Atualizado
2023-03-13
·
CVE-2023-20016
CVSS v3.1
6.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Software Cisco UCS Manager (versões afetadas não especificadas)
Software Cisco FXOS (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no método de criptografia utilizado para a função de backup poderia permitir que um invasor não autenticado, com acesso a um arquivo de backup, descriptografasse informações confidenciais armazenadas nos arquivos de backup de estado completo e de configuração. Isso se deve ao uso de uma chave estática para o recurso de configuração de backup. Um invasor poderia explorar essa vulnerabilidade utilizando a chave estática, potencialmente obtendo acesso a credenciais de usuários locais, senhas do servidor de autenticação, nomes de comunidade do Protocolo Simples de Gerenciamento de Rede (SNMP) e outras credenciais.
Recomendações
Para o software Cisco UCS Manager, atualize o software para uma versão que utilize um método de criptografia seguro para arquivos de backup.
Para o software Cisco FXOS, atualize o software para uma versão que utilize um método de criptografia seguro para arquivos de exportação de configuração.
Como solução alternativa temporária, considere restringir o acesso a arquivos de backup e arquivos de exportação de configuração para minimizar o risco de exploração.
Correção
Use of Insufficiently Random Values
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Fxos
Cisco Ucs Manager