思科决定将不修复路由器中的这70多个漏洞

最新推荐文章于 2023-01-13 17:50:34 发布
最新推荐文章于 2023-01-13 17:50:34 发布
阅读量226 收藏
点赞数
文章标签: 安全 信息安全 nginx 物联网 linux
原文链接:https://codesafe.qianxin.com/#/home
版权
思科宣布不会修复其部分小企业路由器的70多个漏洞,包括允许攻击者执行任意代码和造成拒绝服务的严重问题。受影响型号包括RV110W、RV130、RV130W和RV215W,已进入生命周期末期。同时,思科修复了CMX和AnyConnectSecureMobilityClient中的高危漏洞。
摘要由CSDN通过智能技术生成

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

本周,思科表示不计划修复影响其中一些小企业路由器的70多个漏洞。

虽然思科 Small Business RV110W、RV130、RV130W 和 RV215W 路由器中共发现了68个漏洞,但思科表示由于这些设备已到达生命周期,因此将不会发布补丁。软件维护发布和漏洞修复的最后一天是在2020年12月1日。

这些安全漏洞存在的原因在于,未正确验证用户向受影响的路由器系列的基于 Web 管理接口提供的输入,因此可导致攻击者发送特殊构造的 HTTP 请求,实施利用。

成功利用这些漏洞的攻击者能够以底层操作系统上的 root 权限执行任意代码,不过好在存在一个缓解因素即利用要求具有有效的管理员凭据。

思科发布安全公告,解释称攻击者还可滥用这63个漏洞重启受影响设备,实现拒绝服务条件。思科指出可通过 LAN 或 WAN 连接访问这些设备上的 Web 管理接口,前提是启用了该远程管理,不过在默认情况下是禁用的。

思科指出,“思科并未发布且将不会发布上述漏洞的软件更新。思科 Small Business RV110W、RV130、RV130W 和 RV215W 路由器均已进入生命周期进程。建议客户关注这些产品的生命周期通知。”

其它8个尚未修复的缺陷为中危级别,可被经验证的远程攻击者用于发动 XSS 攻击或访问敏感的、基于浏览器的信息。

思科指出,目前不存在缓解措施,不过也尚未发现针对这些漏洞的公开利用。

01

左中括号

思科修复其它漏洞

左中括号

本周,思科为数十个漏洞发布补丁,其中包括位于企业软件解决方案中的两个高危漏洞。其中最重要的是高危漏洞 CVE-2021-1144(CVSS 评分8.8),它位于 Connected Mobile Experiences (CMX) 中,可被经认证的攻击者滥用于修改系统上任意用户账户的密码,包括管理员账户在内。

该漏洞存在的原因在于未正确地处理对密码修改的授权检查,使得攻击者在即使不具备管理员权限的情况下也实施利用。攻击者可通过向易受设备发送经修改的 HTTP 请求的方式滥用该漏洞。

另外一个高危漏洞位于 AnyConnect Secure Mobility Client for Windows 中,影响该端点解决方案的 Network Access Manager 和 Web Security Agent 组件。

该漏洞的编号为 CVE-2021-1237(CVSS 评分为7.8),可被经认证的本地攻击者劫持 DLL。该漏洞存在的原因在于未充分验证应用程序在运行时加载的资源。

思科解释称,“攻击者可通过在系统某个具体路径中插入一个配置文件的方式利用该漏洞,从而在当应用程序启用时加载恶意 DLL 文件。成功的 exploit 可导致攻击者以系统权限在受影响机器上执行任意代码。”

思科已发布软件更新,解决上述两个漏洞,并表示并未发现相关的公开exploit。

思科还发布了其它18个安全公告,说明了位于如下产品中的中危漏洞:Webex、ASR 5000 路由器、Proximity Desktop for Windows、Enterprise NFV Infrastructure Software (NFVIS)、Finesse、Video Surveillance 8000 IP Cameras、 Firepower Management Center (FMC)、DNA Center、Unified Communications 产品、CMX API 授权和 AnyConnect Secure Mobility Client。

和 Snort 检测引擎相关的三个中危漏洞影响大量思科产品,包括 Integrated Services Routers (ISRs)、Cloud Services Router 1000V、Firepower Threat Defense (FTD)、Integrated Services Virtual Router (ISRv) 以及多个 Meraki 产品系列。

相关漏洞详情可见:

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities

推荐阅读

利用思科 Webex中的3个漏洞,以 ghost 用户身份参会

思科 Security Manager 12个0day PoC 被公开,多个严重 0day仍未修复

思科公开AnyConnect VPN 高危0day,exploit 代码已公开

原文链接

https://www.securityweek.com/over-70-vulnerabilities-will-remain-unpatched-cisco-eol-routers

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
思科企业路由器受高危DoS漏洞影响
smellycat000的专栏
03-10 783
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,思科发布补丁,修复了位于ASR 9000、ASR 9902和ASR 9903系列企业路由器的 IOS XR软件的高危DoS漏洞 (CVE-2023-20049)。该漏洞的CVSS评分为8.6,影响该平台的双向转发检测 (BFD) 硬件卸载特性,无需认证即可遭远程利用。在启用BFD硬件卸载特性的易受攻击的设备上,异常BFD 数据包被不正确地...
CISCO设备信息泄漏漏洞案例
蚁景网安学院
10-20 2029
在日常的渗透任务,除了常见的集权设备,高危组件的漏洞挖掘,一些iot设备目标也是可以作为重点关注的存在。近期实战遇到了几个cisco配置信息泄漏的案例,借此机会复习总结下cisco常见的漏洞
思科不打算修复SMB路由器严重的认证绕过漏洞
smellycat000的专栏
01-13 1564
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科SMB路由器存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。遗憾的是,即使已存在在野PoC exploit思科仍然不打算修复漏洞如遭成功利用,可导致攻击者窃听或劫持VPN和会话流量,在企业网络进行横向移动站稳脚跟或者运行密币挖矿僵尸网络客户端...
思科路由器和交换机被爆有重大漏洞:可被控制或导致瘫痪
数据猿
06-08 1368
“#榜样的力量#数据猿公益策划活动——寻找新冠战“疫”,国数据智能产业先锋力量:申报项目、提交文章(或深度采访),即可参与此次活动最终推出的榜单、勋章、思想者合集以及人物条漫等内容的评...
思科路由器惊现严重漏洞
weixin_34414650的博客
09-02 244
国家计算机网络应急技术处理协调心(CNCERT)日前发布安全公告称,思科系统存在三个安全漏洞,此漏洞影响所有运行IOS的思科设备。这是继2004年4月思科TCP漏洞之后,三年来CNCERT第一次发布思科设备漏洞。CNCERT近三年所有公告,涉及以微软居多,思科仅此两次。 NT: 2em">目前尚不清楚此漏洞是否造成损失。不过专家指出:“由于我国电信、网通、移...
美国思科Linksys EA4500无线路由器官方固件2.1.42.183584版
08-12
路由器还具有多个功能特性,如智能Wi-Fi管理、家长控制、QoS(服务质量)设置以及USB端口,可连接外部存储设备或打印机,实现网络共享。 官方固件的更新对于任何网络设备来说都是至关重要的,因为它们通常包括...
思科Linksys EA6350无线路由器官方固件v3 3.1.9.182357版
08-12
1. **性能优化**:新固件可能对无线信号的传输速度和稳定性进行了优化,确保用户在多个设备同时在线时仍能享受流畅的网络体验。例如,支持最新的Wi-Fi标准,如802.11ac,提供更快的无线连接速度。 2. **安全增强**...
安装、维护Cisco路由器的一般方法.pdf
10-09
在IT领域,Cisco路由器是网络通信的核心设备,广泛应用于企业级网络建设。本文将详细介绍安装和维护Cisco路由器的一般步骤和技术要点。 首先,安装Cisco路由器涉及到物理连接和硬件配置。控制口接口是用于配置和...
浅谈CISCO路由器安全配置 (1).pdf
10-09
总结来说,Cisco路由器安全配置涉及到操作系统升级、访问控制、网络服务管理和流量过滤等多个方面。通过细致的配置,我们可以构建一个强大且安全的网络环境,保护关键数据和资源免受攻击。同时,不断学习和了解新...
CISCO路由器上的SYN Flooding攻击防范方法.pdf
10-09
9. **分布式网络架构**:通过负载均衡和分布式系统,将流量分散到多个设备上,降低单点受攻击的风险。 10. **实施访问控制列表(ACL)**:通过定义和应用访问控制列表,只允许特定的通信流通过,阻止未授权的SYN流量...
Cisco Auditing Tool ----思科路由漏洞扫描
You Never Known How Much I Love You
08-24 3112
Cisco Auditing Tool 简称CAT,属于小型的安全审计工具,它可检测出Cisco路由器常见的漏洞,能够发现注入默认密码,默认SNMP字符串和老版本IOS上存在的bugroot@kali:~# CAT Cisco Auditing Tool - g0ne [null0] Usage: -h hostname (for scanning single hosts) //单个主
0x02 Cisco RV345路由器漏洞研究分享(CVE-2020-3451)
q759451733的博客
03-31 1515
0x0 前言 思科公司是全球领先的网络解决方案供应商。依靠自身的技术和对网络经济模式的深刻理解,思科成为了网络应用的成功实践者之⼀。 0x1 简介 关键点:upload.cgi的fileparam参数,可以参考:https://www.zerodayinitiative.com/advisories/ZDI-20-1100/ 0x2 准备 固件版本 1.0.00.33:https://software.cisco.com/download/home/286288298/type/282465789/
思科发布路由固件和操作系统补丁
weixin_33701564的博客
09-27 267
安全漏洞:CN-VA09-90发布日期:2009年9月27日 漏洞类型:拒绝服务 漏洞评估:严重 公开程度:公共  思科公司9月23日发布了重要的路由固件和操作系统补丁。此次一共发现了12款产品安全漏洞思科公司就这些漏洞发布了11个安全漏洞公告。漏洞描述: *Cisco IOS对象组访问控制列表绕过漏洞Cisco IOS软件存在漏洞,当使用了基于ACL的...
Cisco 修复云服务平台重大漏洞
weixin_38920945的博客
11-17 66
前言近日,思科修复了云服务产品线上包括云服务平台(CSP),可扩展 Firepower 操作系统(FXOS),NX-OS软件以及一些小型企业 IP 电话上的高危漏洞。此次修复最严重的漏洞是 CVE-2017-12251,***者可不经过授权访问云平台2100。有很多机构都使用该平台搭建思科或第三方的虚拟服务。该漏洞存在于 Cisco 云服务平台(CSP)2100 的 Web ...
思科路由器高危漏洞可导致攻击者完全访问小企业网络
smellycat000的专栏
08-11 280
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科小企业路由器存在一个高危漏洞 (CVE-2022-20827),可导致“有耐心和位置适当的攻击者”在受影响设备上实现未认证远程代码执行。该漏洞由Onekey 公司的研究人员发现,他们在思科RV160、RV260、RV340和RV345系列路由器发现不当输入验证可导致远程攻击者在系统上执行任意命令。研究人员在本周的...
思科承认路由器也存在“心血”漏洞
u014649213的专栏
04-11 663
4月11日消息,据国外媒体报道,被称为“心血”的高风险加密漏洞并非只影响网站,思科与Juniper两家设备厂商日前表示,自己的部分网络硬件产品上也出现了这类漏洞。   两大网络设备制造商的表态意味着,黑客也可以在企业网络、家庭网络以及互联网上利用这一漏洞,非法获取用户名、密码以及其他敏感信息。   包括雅虎、亚马逊以及Netflix在内的许多网站都受到了“心血”漏洞的影响。大部分网站自周一获知
ntp协议 服务器失效怎么办,排除网络时间协议(NTP)故障
weixin_31092009的博客
08-13 1729
本文提供信息关于怎样排除故障与网络时间协议(NTP)的常见问题。思科建议您有一好了解NTP如何工作和一好知识网络时间协议。本文档不限于特定的软件和硬件版本。有关文档规则的详细信息,请参阅 Cisco 技术提示规则。网络时间协议(NTP)是用途广泛为了同步计算机到互联网时间服务器或其他来源,例如无线电或卫星接收器或者电话调制解调器服务。它少于一毫秒提供准确性典型地在LAN和至一些毫秒在WAN。典型的...
安全漏洞Cisco命令注入漏洞CVE-2021-1414分析
HBohan的博客
08-11 1444
概述 最近关注了Cisco的一个命令注入漏洞CVE-2021-1414,命令注入之后可导致远程代码执行: 漏洞存在于固件版本低于V1.0.03.21的RV340系列路由器,当前最新版本V1.0.03.21已修复了此漏洞。RV340系列路由器可为小型企业提供防火墙和高速上网服务。刚好手头有一个RV340路由器,固件版本为V1.0.03.18,为存在漏洞版本,故实地分析测试了一下。 漏洞分析 从官网分别下载了V1.0.03.18固件:https://software.cisco.com/download.
cisco packet tracer为什么路由器连不了三个交换机
最新发布
06-07
Cisco Packet Tracer路由器可能无法连接三个交换机的原因有很多,以下是一些可能的原因: 1. 错误的物理连接:请确保所有设备都正确连接,并且每个设备都有正确的IP地址和子网掩码。 2. VLAN配置问题:请...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值