专栏首页FreeBuf思科交换机的新漏洞恐引起新一轮全球扫描

思科交换机的新漏洞恐引起新一轮全球扫描

近期,思科修复了旗下明星产品——Cisco Small Business 220系列智能交换机上的三个高危漏洞。

这三个漏洞分别是身份验证绕过(CVE-2019-1912,评级为致命,评分为9.1)、远程命令执行(CVE-2019-1913,评级为致命,评分为9.8)和命令 注入(CVE-2019-1914,评级为中等,评分为7.2)。

这三个漏洞中,前两个最为危险,因为攻击者可以利用它们在不经过身份验证的情况进行远程攻击。考虑到思科刚刚才公布漏洞,现公网上任意思科220系列智能交换机都有可能受到攻击。

在今天发布的一份安全建议中,思科表示,攻击者可以利用身份验证绕过漏洞,将文件非法上传到思科220交换机上。攻击者可借此直接替换配置文件,或者植入一个反向shell。

第二个漏洞(也是这三个漏洞中最危险的一个)可让攻击者以root权限执行任意命令,彻底接管设备。而且这只需要简单的HTTP或HTTPS交互即可实现。

安全补丁和防御措施

好消息是,这三个漏洞都是基于交换机的web管理界面。所以设备管理者可以通过直接关闭web管理界面临时防御攻击,当然,最好还是及时安装思科发布的官方补丁。

在思科发布的Cisco Small Business 220系列智能交换机固件版本1.1.4.4中已修复了这三个bug。据思科自己的说法,之前的所有版本都存在被攻击风险。

思科宣称是物联网网络安全公司VDOO发现并报告了这三个漏洞。但在撰写本文时,VDOO还没有发布任何PoC或漏洞技术细节。

有兴趣的安全研究人员可自行对思科路由器的固件进行逆向,说不定能发现这三个漏洞的利用方法。

考虑到思科是当今互联网设备的领头公司之一,预计在不久的将来,将有不少攻击者将这三个漏洞包装成攻击工具,对全球进行扫描。据跟踪僵尸网络活动和恶意网络扫描的网络安全公司Bad packages的说法,在每周都有不少针对思科设备的恶意扫描。

为了彻底防御住这种攻击,每个企业的网络管理员最好能尽快摸清旗下相关思科设备,打上安全补丁。

*参考来源:ZDNet,辛木容是天才编译整理,转载请注明来自 FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf),作者:辛木容是天才

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 思科修复云服务平台重大漏洞

    近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞...

    FB客服
  • 国产漏洞靶场Webug 3.0发布

    Webug名称定义为“我们的漏洞”靶场环境,基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。...

    FB客服
  • 对话近期多个DoD漏洞发现者Alyssa Herrera

    大家好,我是Alyssa Herrera,现在是一名全职的漏洞挖掘者,我住在美国加利福尼亚。业余时间喜欢玩游戏,和朋友聊天。

    FB客服
  • ThinkPHP 5.0.0~5.0.23 RCE 漏洞复现

    2019 年 1 月 11 日,360CERT 发现某安全社区出现关于 ThinkPHP5 RCE 漏洞的威胁情报,不久之后 ThinkPHP5 官方与 Git...

    墙角睡大觉
  • Roslyn 使用 Directory.Build.props 管理多个项目配置

    在一些大项目需要很多独立的仓库来做,每个仓库之间都会有很多相同的配置,本文告诉大家如何通过 Directory.Build.props 管理多个项目配置

    林德熙
  • 笔记本命令提示符开启wifi

    首先win+r打开运行,输入cmd进入命令提示符 输入下列代码: netsh wlan set hostednetwork mode=allow ssid=wi...

    lonelydawn
  • Ensemble Learning

    集成学习(ensemble [ɒnˈsɒmbl] learning)通过构建并结合多个学习器来完成任务,有时也被称为多分类器系统(multi-classifie...

    老肥码码码
  • u盘双系统

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    sofu456
  • 腾讯ieg开发现场面

    投的后台调成了运营开发。貌似是做大数据平台的。 一面: 1SQL 创建一个表 新增列到表里。。居然给忘了。。尴尬。支支吾吾写了一点 2Linux命令 问的很具...

    牛客网
  • ThinkPHP5漏洞分析之文件包含丨代码审计

    本系列文章将针对ThinkPHP的历史漏洞进行分析,今后爆出的所有ThinkPHP漏洞分析,也将更新于ThinkPHP-Vuln(https://github....

    周俊辉

扫码关注云+社区

领取腾讯云代金券