[Ilustrasi Oleh Pixabay]
Perusahaan teknologi telekomunikasi, Cisco, baru saja memperingatkan bahwa ada kerentanan mekanisme otentikasi di dalam Cisco Data Center Network Manager (DCNM). Kerentanan ini bersifat kritis sehingga siapapun yang terdampak harus segera mengunduh pembaruan dari Cisco.
Mengutip keterangan ProgrammableWeb, perusahaan global tersebut mengungkapkan bahwa kerentanan keamanan tersebut dapat memberikan keleluasaan bagi penyerang dari jarak jauh untuk melewati otentikasi.
Hal tersebut tentu saja cukup mengkhawatirkan, karena mereka bisa saja memanfaatkan hak administratif untuk melakukan tindakan yang tak bertanggung jawab kepada pengguna yang terpengaruh.
Secara umum, kerentanan ini bisa dimanfaatkan oleh para penyerang melalui produk-produk Cisco DCNM, yang mana masih menggunakan piranti lunak yang diluncurkan sebelum versi 11.3(1).
Adapun di dalamnya termasuk berbagai macam produk Cisco DCNM yang digunakan pada ekosistem terkenal, seperti di Microsoft Windows, Linux, maupun platform perlengkapan virtual. Produk-produk yang sudah dipastikan terkena dampak dari kerentanan ini pun sudah dibuatkan daftarnya oleh Cisco.
Secara lebih lanjut, Cisco mengungkapkan bahwa terdapat tiga kerentanan yang bisa dimanfaatkan oleh penyerang ke dalam Cisco DCNM. Ketiganya tidak berkaitan dan bisa dimanfaatkan salah satunya tanpa kerentanan yang lainnya.
Namun dari ketiga kerentanan tersebut, terdapat dua antarmuka pemrograman aplikasi yang berkaitan. Kedua antarmuka pemrograman aplikasi tersebut adalah DCNM REST API dan DCNM SOAP API.
Titik akhir pada DCNM REST API dan DCNM SOAP API sama-sama rentan, karena kunci enkripsi statisnya dibagikan di antara instalasi. Sehingga, para penyerang bisa dengan mudah menggunakannya untuk membuat token sesi yang valid.
Sementara kerentanan lainnya terdapat pada antarmuka manajemen berbasis web milik Cisco DCNM. Kerentanan ini memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk melewati proses otentikasi pada perangkat yang terpengaruh.
Tidak ada solusi yang tersedia untuk menangani beberapa kerentanan tersebut. Meskipun demikian, perusahaan Cisco telah merilis pembaruan perangkat lunak yang ditujukan untuk mengatasinya.
Pembaruan perangkat lunak ini bisa digunakan secara gratis untuk semua produk yang masuk ke dalam daftar produk Cisco yang kami sampaikan sebelumnya. Termasuk dalam hal ini, langkah-langkah untuk mendapatkan dan memasangnya juga terdapat di halaman tersebut.
[Sumber: ProgrammableWeb]
