思科精睿系列交换机中存在严重的未修复漏洞,导致 SOHO网络易遭攻击
编译:360代码卫士团队
部署广泛的思科精睿系列 (Cisco Small Business Switch) 软件中存在一个严重的未修复漏洞,可导致远程未验证攻击者完全控制设备以及网络的管理权限。
思科精睿系列交换机为小型办公和家庭办公 (SOHO) 环境而设计,通过少量工作站管理并控制局域网。这些交换机基于云、具有管理式及非管理式“选择”,是资源匮乏的中小企业可承担(低于300美元)的解决方案。
CVSS 评分9.8
这个漏洞 (CVE-2018-15439) 的 CVSS 评分为9.8分,存在的原因是设备上的默认配置中包含一个默认的权限用户账户,用于初次登录且不可从系统中删除。管理员可将其它用户账户的访问权限配置为15级的方式禁用该账户。然而,如果所有被配置为权限级别15的用户账户从设备配置中删除,那么它就会重启默认的权限用户账户,而无需通知系统的管理员。
上周三,思科在安全公告中指出,“在这种情况下,攻击者可使用这些账户登录至受影响设备,并以完整的管理员权限执行命令,从而导致未经验证的远程攻击者绕过受影响设备的用户认证机制。”
由于这些交换机用于管理 LAN,如遭成功利用,则意味着远程攻击者将获取对网络安全功能的访问权限如防火墙以及用于管理声音、数据和网络设备无线连接的管理接口。
思科表示,目前尚不存在补丁,未来某时将推出。不过也存在一个简单的应变措施:在设备配置中至少增加一个访问权限级别为15级的用户账户。
用户可“使用管理员作为用户 ID 配置账户,将访问权限设置为15级,并使用复杂密码替代 <strong_password> 的方式定义密码。通过增加这个用户账户,就会禁用默认的权限账户。”
受影响产品
该缺陷影响思科精睿200系列的智能交换机 ( Cisco Small Business 200 Series Smart Switches)、250系列的智能交换机 (250 Series Smart Switches)、300系列的管理交换机 (300 Series Managed Switches)、350系列的管理交换机(350 Series Managed Switches)、思科 350X 系列的栈管理交换机 (350X Series Stackable ManagedSwitches)、500系列的栈管理交换机 (500 Series Stackable ManagedSwitches) 和550X系列的栈管理交换机 (550X Series Stackable ManagedSwitches)。
思科220系列和200E 系列的智能交换机并不受影响,且它们均未运行思科 IOS 软件、思科 IOS XE 软件或思科 NX-OS 软件。
今年1月初,思科曾在每月更新中发布了18个修复方案,包括修复了安全工具中的两个严重漏洞。它们的严重级别为严重和高危,可导致受影响设备上永久拒绝服务,且仅凭一份邮件即可遭利用。
推荐阅读
原文链接
https://threatpost.com/critical-unpatched-cisco-flaw/141010/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。