菁英科技（卓目鸟学苑）- 专注软件测试菁英教育

标题: 思科SD-WAN软件root漏洞曝光，允许黑客破坏管理系统 [打印本页]

作者: 田天卡 时间: 2020-3-27 10:03
标题: 思科SD-WAN软件root漏洞曝光，允许黑客破坏管理系统
思科向客户通报了针对公司RV系列，SD-WAN，Umbrella和其他产品的十几个关键和高严重性漏洞的补丁。其中两个漏洞被思科评为“关键”。其中之一，CVE-2018-0423，是各种RV系列防火墙和路由器的基于Web的管理界面中的缓冲区溢出漏洞。安全漏洞允许远程和未经身份验证的攻击者导致拒绝服务（DoS）条件或执行任意代码。第二个被网络巨头评为“关键”评级的缺陷是CVE-2018-0435，它影响了Cisco Umbrella API。远程攻击者可以利用此漏洞在多个组织中读取或修改数据，但利用需要身份验证。思科注意到该错误已在API中解决，并且不需要用户交互来应用补丁。
(, 下载次数: 185)
影响RV系列设备的关键漏洞由360 ESG CodeSafe团队的Qingtang Zheng向思科报告，他们还在这些产品的管理界面中发现了另外三个严重缺陷。其中两个漏洞允许攻击者远程访问敏感信息，一个漏洞可以被用于任意命令执行，但后者需要身份验证。 Umbrella解决方案也受到一些高严重性缺陷的影响。具体来说，Umbrella企业漫游客户端有一些弱点，经过身份验证的攻击者可利用这些漏洞将权限提升为“管理员”。
这些问题是由Critical Start的研究人员发现的，该研究人员发布了自己的博客文章，提供了详细的技术信息。。思科的SD-WAN解决方案也受到高严重性漏洞的影响。它们可以允许黑客获取对敏感数据的访问权限，以root身份执行命令并提升权限，但有些则需要本地访问和/或身份验证。该公司还告知客户，补丁可用于WebEx中的严重权限提升和信息泄露错误，Prime Access Registrar中的DoS漏洞，数据中心网络管理器中的权限提升以及集成管理控制器（IMC）软件中的两个命令注入。

欢迎光临菁英科技（卓目鸟学苑）- 专注软件测试菁英教育 (http://www.zmnxy.com/)