思科警告 SD-WAN 软件存在严重安全漏洞,请立即更新

Andrew 2021-01-23
专栏 发布于 2021-01-23 11:59:03 阅读 259 评论 0

思科正警告客户立即更新其网络软件,标记出四个严重的安全漏洞,这些漏洞会影响SD-WAN,DNA和Smart Software Manager Satellite。

Cisco SD-WAN具有三个命令注入漏洞,分别被跟踪为CVE-2021-1260,CVE-2021-1261和CVE-2021-1262。总体而言,它们的严重性得分为9.9(满分10)。换句话说,这些都是严重的漏洞,需要立即采取措施。尽管互联网上的攻击者实际上需要一个有效的密码,但仍能达到该等级。

思科指出:“思科SD-WAN产品中的多个漏洞可能允许经过身份验证的攻击者对受影响的设备执行命令注入攻击,这可能使攻击者可以在设备上以root特权执行某些操作。”

严重性等级可能是由于其影响所致:“成功利用漏洞可能使攻击者获得对受影响系统的根级别访问权限,”思科指出。

此问题影响思科的SD-WAN vBond Orchestrator软件,SD-WAN vEdge云路由器,SD-WAN vEdge路由器,SD-WAN vManage软件和SD-WAN vSmart Controller软件。

思科SD-WAN遭受了另外两个漏洞的严重性评分为9.8,被跟踪为CVE-2021-1300和CVE-2021-1301。

思科称,这些隐患使“未经身份验证的远程攻击者可以对受影响的设备执行攻击” 。

它们会影响IOS XE SD-WAN软件,SD-WAN vBond Orchestrator软件,SD-WAN vEdge云路由器,SD-WAN vEdge路由器,SD-WAN vManage软件和SD-WAN vSmart Controller软件。

Cisco DNA Center的Command Runner工具的严重等级为9.6,“可以允许经过身份验证的远程攻击者执行命令注入攻击。” 跟踪为CVE-2021-1264。

再次,攻击者需要正确的登录名,但是Command Runner工具的泄漏输入验证可能会“允许攻击者在Cisco DNA Center管理的设备上执行任意CLI命令”,据Cisco称。

最后,Cisco Smart Software Manager Satellite Web用户界面存在9.8级严重错误,因为即使没有密码,远程攻击者也可以向其中注入恶意命令。

该通报由三个不同的错误组成,分别被跟踪为CVE-2021-1138,CVE-2021-1139和CVE-2021-1140。据思科称,这些都是严重漏洞,需要立即更新。

思科解释说:“攻击者可以通过向受影响的设备发送恶意HTTP请求来利用这些漏洞。成功利用该漏洞可以使攻击者在底层操作系统上运行任意命令。”

好消息是,思科工程师发现了除一个关键漏洞外的所有漏洞,而一个被报告问题的客户发现了一个漏洞。思科不知道有任何漏洞正在被积极利用。

思科于2021年1月发布了针对19个bug的公告。除了四个严重漏洞之外,还有9个高严重性漏洞和18个中等严重性漏洞。

某些客户可能已经受到这些漏洞的保护,因为思科会在发现安全漏洞之前定期发布带有安全修复程序的版本。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!