本文回顾了2021年物联网设备的CVE天梯榜,涉及思科、TP-Link、Juniper、Netgear、F5 BIG-IP和ASUS等多个品牌,列举了高分CVE,如CVE-2021-34730、CVE-2021-41450等,这些漏洞可能导致设备被远程攻击、执行任意代码或造成DoS。随着物联网安全性的提升,厂商们对安全问题日益重视,为用户隐私安全提供了更好的保障。
2021年物联网设备CVE天梯榜
时间飞逝,转眼间来到了2022年。新的一年即将开始,一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安全的重视性越来越高,产品也越来越安全。物联网与我们的生活息息相关,看到物联网的安全性的不断的提高,作为用户对我们自己的隐私等有了更安全的保证。我们作为一家专注于物联网安全的公司,统计了以下品牌部分评分较高的CVE编号以及描述等。
思科
CVE-2021-34770
CVSSV3评分7.2,Cisco IOS XE CAPWAP 数据包的堆溢出,用于 Cisco Catalyst 9000 系列无线控制器的 Cisco IOS XE 软件的无线接入点控制和配置 (CAPWAP) 协议处理中存在一个漏洞,该漏洞可以允许未经身份验证的远程攻击者以管理权限执行任意代码或导致拒绝服务 (DoS) 受影响设备的状况。该漏洞是由于验证 CAPWAP 数据包过程中发生的逻辑错误造成的。攻击者可以通过向受影响的设备发送精心制作的 CAPWAP 数据包来利用此漏洞。成功的利用可以允许攻击者以管理权限执行任意代码或导致受影响的设备崩溃并重新加载,从而导致 DoS 。(NVD发布日期:2021-09-22)
CVE-2021-34730
CVSSV3评分9.8,Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的通用即插即用 (UPnP) 服务中存在一个漏洞,该漏洞可以允许未经身份验证的远程攻击者执行任意代码或导致受影响的设备意外重启,从而导致拒绝服务 (DoS) 。此漏洞是由于对传入 UPnP 流量的验证不当造成的。攻击者可以通过向受影响的设备发送精心设计的 UPnP 请求来利用此漏洞。成功的利用可以允许攻击者以 root 用户身份在底层操作系统上执行任意代码或导致设备重新加载,从而导致 DoS 。(NVD发布日期:2021-08-18)
CVE-2021-34727
CVSSV3评分9.8, Cisco IOS XE SD-WAN 软件中 vDaemon 进程中的漏洞可以允许未经身份验证的远程攻击者在受影响的设备上造成缓冲区溢出。此漏洞是由于受影响的设备处理流量时边界检查不足造成的。攻击者可以通过向设备发送精心设计的流量来利用此漏洞。成功的利用可以允许攻击者导致缓冲区溢出并可以使用 root 级权限执行任意命令,或导致设备重新加载,这可以导致拒绝服务。(NVD发布日期:2021-09-22)
CVE-2021-1619
CVSSV3评分9.1,Cisco IOS XE软件的AAA (authentication, authorization, and accounting)功能存在一个漏洞,可以允许未经认证的远程攻击者绕过NETCONF或RESTCONF认证,执行以下任意一种操作:安装、操作或删除受影响设备的配置导致内存损坏,导致受影响设备上拒绝服务(DoS)。该漏洞是由于一个未初始化的变量造成的。攻击者可以通过向受影响的设备发送一系列NETCONF或RESTCONF请求来利用这个漏洞。一个成功的攻击可以允许攻击者使用NETCONF或RESTCONF来安装、操作或删除网络设备的配置,或破坏设备上的内存,从而导致DoS。(NVD发布日期:2021-09-22)
CVE-2021-1610
CVSSV3评分8.8,Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中的多个漏洞可以允许攻击者执行以下操作:执行任意代码导致拒绝服务 (DoS)、执行任意命令。(NVD发布日期:2021-08-04)
最低0.47元/天 解锁文章
扫一扫
1217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
