Cisco Data Center Manager -DCNM در معرض نقص بحرانی است که می تواند توسط هر کسی در اینترنت مورد سوء استفاده قرار بگیرد. سیسکو از آسیب پذیری امنیتی جدی در مدیریت شبکه داده های سیسکو (DCNM) ، که یک قطعه کلیدی از نرم افزار اتوماسیون مرکز داده سیسکو است ، برای سخت افزارهای شبکه ای MDS و Nexus استفاده کرده است. در حین آزمایش داخلی ، سیسکو کشف کرد که یک اشکال در رابط پروتکل برنامه REST (API) DCNM می تواند به هر کسی که در اینترنت است اجازه دهد از سیستم وارد شدن به رابط وب بگذرد و کارهایی را انجام دهد که انگار آنها مدیر دستگاه هستند. Bug فاش شده ، با عنوان CVE-2020-3382 ، با نقص کلید رمزگذاری استاتیک در DCNM که یک محقق خارجی در اوایل سال جاری کشف کرده است ، مشابه است. کلید استاتیک به مهاجمان اجازه می دهد تا از آن استفاده کنند تا یک Tokenمعتبر برای Session را روی دستگاه آسیب دیده تولید کنند و هر کاری که می خواهند را از طریق REST API با امتیازات مدیریتی انجام دهند. این آسیب پذیری به دلیل نسخه های مختلف نصب شده که دارای یک کلید رمزگذاری استاتیک است انجام میشود. در نتیجه مهاجم می تواند از این آسیب پذیری با استفاده از کلید استاتیک برای تهیه session Token معتبر با امتیازات مدیریتی سوء استفاده کند واقدامات دلخواه را انجام دهد .
برای رفع اشکال ، Admins باید آخرین نسخه های نرم افزار DCNM سیسکو را نصب کند زیرا هیچ راه حلی وجود ندارد. با این حال ، سیسکو خاطرنشان می کند که هنوز از مهاجمین که از این نقص استفاده می کنند آگاهی ندارد. این اشکال از 10 نمره احتمالی 9.8 برخوردار است و در نسخه های 11.0 (1) ، 11.1 (1) ، 11.2 (1) و 11.3 (1) بر روی نرم افزار DCNM تأثیر می گذارد.