人
已阅读
已阅读
无极4平台待遇思科警告有五个SD-WAN安全弱点
作者:无极4平台 来源:无极4平台 发布时间:2020-03-21
思科已就其SD-WAN产品的安全缺陷发出了5次警告,无极4平台待遇其中3次属于安全缺陷级别的高端产品。
最糟糕的问题是它的SD-WAN解决方案软件的命令行接口(CLI),它的一个弱点可能让本地攻击者注入任意命令,这些命令是用根特权执行的,无极4Cisco写道。
攻击者可以利用这个漏洞——在公共漏洞评分系统上有一个7.8 out if 10——通过对设备进行身份验证,并向CLI实用程序提交精心设计的输入。攻击者必须通过身份验证才能访问CLI实用程序。该漏洞是由于输入验证不足,思科写道。
另一个高警告问题允许经过身份验证的本地攻击者将特权提升到底层操作系统的根目录。攻击者可以通过向受影响的系统发送一个精心设计的请求来利用这个漏洞。一个成功的漏洞可以让攻击者获得根级别的特权,Cisco写道。该漏洞是由于输入验证不足造成的。
SD-WAN解决方案软件中的第三个高级漏洞可能让攻击者在受影响的设备上造成缓冲区溢出。攻击者可以通过向受影响的设备发送精心设计的流量来利用此漏洞。思科写道,注册无极4网址一个成功的攻击可以让攻击者获得他们没有权限访问的信息,并对他们没有权限访问的系统进行修改。
如果运行的Cisco SD-WAN解决方案软件版本早于19.2.2版本,则这些漏洞会影响许多Cisco产品:vBond编配器软件、vEdge 100-5000系列路由器、vManage网络管理系统和vSmart控制器软件。
思科表示,对于任何漏洞都没有变通办法,并建议用户接受自动软件更新,以减少利用风险。也有针对这些问题的软件修复。
思科表示,上述三次高层警告均由Orange集团向思科报告。
其他两个具有中等威胁级别的SD-WAN解决方案软件警告包括一个允许对vManage软件的基于web的管理界面进行跨站点脚本攻击(XSS)的警告和SQL注入威胁。
XXS漏洞是由于基于web的管理界面对用户提供的输入进行了不充分的验证。攻击者可以通过说服用户点击一个精心制作的链接来利用这个漏洞。成功的攻击可以允许攻击者在接口上下文中执行任意脚本代码,或者访问敏感的、基于浏览器的信息。
存在SQL漏洞是因为web UI不正确地验证SQL值。攻击者可以通过对应用程序进行身份验证并向受影响的系统发送恶意SQL查询来利用此漏洞。Cisco写道,成功的攻击可以让攻击者修改底层数据库和操作系统的值,或者从底层数据库和操作系统返回值。
思科认可了报告问题的Julien Legras和Synacktiv的Thomas Etrillard。
