至少影響8800個脆弱系統!思科VPN路由器的嚴重漏洞允許遠端接管
在思科系統的一個小型虛擬專用網路路由器子集中,一個嚴重的安全漏洞可能會讓遠端的、未經認證的攻擊者接管裝置。研究人員說,至少有8800個脆弱的系統可以被攻破。
思科在上週釋出的一系列補丁中解決了這些漏洞(CVE-2021-1609)。修復後的產品及受影響產品如下:
Cisco RV340、RV340W、RV345和RV345P Dual WAN Gigabit 虛擬專用網路路由器Web管理漏洞(建議)
Cisco小企業RV160和RV260系列VPN路由器遠端命令執行漏洞(諮詢)
Cisco針對Windows DLL注入漏洞的包跟蹤漏洞(建議)
Cisco Network Services Orchestrator CLI Secure Shell Server Privilege Escalation漏洞(建議)
ConfD CLI Secure Shell Server Privilege Escalation漏洞(建議)
千兆虛擬專用網路路由器中的關鍵RCE安全漏洞
這個嚴重的bug會影響到供應商的雙WAN千兆路由器。根據該建議,CVE-2021-1609存在於裝置的web管理介面中,其CVSSv3漏洞嚴重程度評分為9.8。它是由於對HTTP請求的驗證不當而產生的。
根據Tenable週四的分析,未經身份驗證的遠端攻擊者可以透過向易受攻擊的裝置傳送特製的HTTP請求來利用該漏洞,“導致任意程式碼執行以及重新載入裝置的能力,從而導致拒絕服務(DoS)。”
根據 Cisco的說法,這些裝置的遠端管理在預設情況下是禁用的,這將阻止此類攻擊。然而,Tenable的研究人員發現,超過8,800臺裝置可公開訪問且容易被利用。
同時,影響同一裝置的第二個漏洞CVE-2021-1610 是同一Web管理介面中的一個高階別命令注入漏洞。
Tenable表示:“雖然這兩個漏洞都是由於HTTP請求驗證不當而存在,並且可以透過傳送特製的HTTP請求來利用,但 CVE-2021-1610 只能被具有root許可權的經過身份驗證的攻擊者利用。” “成功的利用將使攻擊者能夠在易受攻擊的裝置的作業系統上獲得任意命令執行。”
思科指出,其小型企業虛擬專用網路路由器的Web管理介面預設可透過區域網連線使用,並且無法禁用,並補充說某些版本的路由器軟體可能僅受兩個漏洞之一的影響。
儘管到目前為止還沒有發現針對這些漏洞的野外利用,但Tenable警告稱,不排除將來會出現。該公司補充說,如果無法修補,使用者應確保禁用遠端Web管理。
資料顯示,90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!而軟體自身漏洞可以透過靜態程式碼檢測發現其中的30-70%的安全漏洞。因此,隨著企業進行安全左移, 靜態程式碼檢測是確保軟體安全的有效手段之一。
高嚴重性思科安全漏洞
思科還解決了幾個高嚴重性錯誤,在CVSSv3等級上的嚴重性等級介於8.8和7.8之間。
該漏洞被跟蹤為CVE-2021-1602,存在於思科小型企業RV160、RV160W、RV260、RV260P和RV260W 虛擬專用網路路由器的基於web的管理介面中。如果被利用,它可以允許未經認證的遠端攻擊者使用根級別特權在底層作業系統上執行任意命令。
與千兆虛擬專用網路路由器問題一樣,該漏洞是由於使用者輸入驗證不足造成的,攻擊者可以透過向基於web的管理介面傳送精心設計的請求來利用該漏洞。然而,思科表示,一個緩和因素是,只能執行沒有引數的命令。
同時,Cisco Packet Tracer for Windows漏洞(CVE-2021-1593)可能允許認證的本地攻擊者對受影響的裝置執行DLL注入攻擊。根據該建議,攻擊者必須在Windows系統上有有效的憑據才能成功。
思科解釋說:“這個漏洞是由於在執行時對目錄路徑的錯誤處理造成的。”“攻擊者可以利用此漏洞,在系統的特定路徑中插入配置檔案,這可能導致應用程式啟動時載入惡意DLL檔案。一個成功的漏洞可以讓一個擁有普通使用者特權的攻擊者使用另一個使用者帳戶的特權在受影響的系統上執行任意程式碼。”
最後一個高階別安全問題被跟蹤為CVE-2021-1572,它影響CLI Secure Shell (SSH)伺服器的Cisco Network Services Orchestrator (NSO)和ConfD選項。這是一個特權升級錯誤,它允許經過身份驗證的本地攻擊者在服務執行的帳戶級別(通常是根帳戶)執行任意命令。
要利用該漏洞,攻擊者必須在受影響的裝置上有一個有效的帳戶。
思科公司表示:“該漏洞的存在是因為受影響的軟體在啟用內建SSH伺服器時,在執行的帳戶的特權級別上錯誤地執行SFTP使用者服務。”“具有低階許可權的攻擊者可以透過對受影響裝置進行身份驗證並在SFTP介面上發出一系列命令來利用這個漏洞。”
供應商警告說,任何能夠對內建SSH伺服器進行身份驗證的使用者都可能利用這個漏洞。
多項調查總結發現,相對於新漏洞,網路犯罪分子更喜歡利用出現時間更長的舊漏洞發起網路攻擊。由於思科漏洞很受網路攻擊者的歡迎,使用者應該更新到受影響產品的最新版。
此外,建議軟體開發企業在軟體生產過程中,要多關注軟體安全問題。在開發軟體過程中,利用 靜態程式碼檢測等技術協助開發人員及時發現安全漏洞並修正,在加強軟體安全的同時還能降低維護網路安全的成本。
Wukong(悟空)靜態程式碼檢測工具,從原始碼開始,為您的軟體安全保駕護航!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2786122/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Spring Data REST 存在嚴重漏洞,允許遠端攻擊者執行任意命令SpringREST
- GitLab存在嚴重漏洞,允許透過Github匯入實現遠端命令執行GitlabGithub
- GitHub漏洞允許任意程式碼執行,Windows不受影響GithubWindows
- 思科IP電話存嚴重RCE漏洞!
- 流行 VPN 包含允許執行任意程式碼的安全漏洞
- 新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行
- 【漏洞預警】AXIS大量攝像頭產品多個連環漏洞利用,影響嚴重
- mysql如何允許遠端訪問MySql
- 開源元件漏洞影響多個 CMS 系統元件
- 配置 MySQL 允許遠端連線的方法MySql
- 這個D-Link不願修復的高危漏洞,影響面被嚴重低估了!
- 新藍芽漏洞曝光,允許接管安卓、Linux、macOS和iOS裝置藍芽安卓LinuxMaciOS
- TP-Link路由器被曝嚴重漏洞,遠端攻擊者無需密碼即可登入路由器密碼
- CentOS 配置Mysql允許遠端登入CentOSMySql
- 允許本地Sql Server 遠端連線SQLServer
- mariadb配置允許遠端訪問方式
- 嚴重性10分,思科IOS XE零日漏洞正被利用iOS
- ABB Totalflow 計算機中嚴重漏洞影響石油和天然氣公司計算機
- 漏洞聚焦:Moxa EDR-810 工業安全路由器存在多個嚴重漏洞路由器
- 思科路由器:開啟telnet和ssh遠端登陸路由器
- 遠端桌面協議 CredSSP 出現漏洞,影響所有版本的 Windows協議Windows
- 允許mysql遠端使用者連線。MySql
- Kubernetes 爆發嚴重漏洞:可能影響所有開源版本,請儘快升級
- Windows 7 Meltdown 補丁被發現嚴重漏洞 允許任意程式讀寫核心記憶體Windows記憶體
- 嚴重 PHP 漏洞導致伺服器遭受遠端程式碼執行PHP伺服器
- 配置redis伺服器允許遠端連線Redis伺服器
- 某遠端程式碼執行漏洞影響超過70個不同的CCTV-DVR供應商的漏洞分析VR
- win10允許遠端桌面連線如何設定_win10怎樣設定允許遠端桌面連線Win10
- CISA警告3個工業控制系統軟體中存在嚴重漏洞
- 允許重複的組合
- 谷歌警告稱,超過35000個Java包受 Log4j 漏洞影響;Microsoft Teams 允許網路釣魚漏洞,至今未被修復谷歌JavaROS
- WinRAR被曝存嚴重程式碼執行漏洞 19年影響5億使用者!
- 每日安全資訊:開源元件漏洞影響多個 CMS 系統元件
- 開源軟體安全任重道遠!80%的軟體程式碼庫包含至少一個漏洞
- 雲伺服器SQL Server 2008 允許遠端連線的配置伺服器SQLServer
- 蘋果曝嚴重漏洞衝上熱搜第一,駭客或可完全接管裝置蘋果
- 思科曝光5個嚴重漏洞;蘋果釋出 iOS 13.4;釘釘下載量躍居首位蘋果iOS
- CVE-2024-43636 是一個針對 Microsoft Windows 作業系統中 DWM 核心庫 (Desktop Window Manager) 的安全漏洞。這個漏洞可以導致 遠端程式碼執行(RCE),對系統安全構成嚴重威脅。ROSWindows作業系統