思科小型企业交换机存在一个未修补的关键漏洞,允许未经身份验证的攻击者获取完全管理权限。默认配置包含无法删除的默认特权用户账户,即使所有自定义级别15账户被删除,也会重新启用。虽然没有补丁,但通过添加一个访问级别15的用户账户可暂时解决这个问题。此漏洞影响多个系列的思科交换机,但某些型号不受影响。
默认配置允许对未经身份验证的攻击者以超级管理员的身份进行访问。
广泛部署于小型企业的思科交换机软件中存在一个关键且未修补的漏洞,它使未经身份验证的远程攻击者可以对该设备的网络,实现全面的管理控制。
思科小型企业交换机是为小型办公室和家庭办公室(SOHO)环境开发的,用于管理和控制小型局域网,只需少量工作站。它们采用基于云的,管理和非托管的方式,这是一种解决资源紧张既经济又实惠的小型企业(低于300美元)的绝佳方案。
存在漏洞(CVE-2018-15439),其严重基准CVSS严重等级为9.8,因为设备上的默认配置包括用于初始登录的默认特权用户帐户,无法从系统中删除。管理员可以通过将访问权限设置为级别15的其他用户帐户配置来禁用此帐户。但是,如果从设备配置中删除了所有用户配置的权限级别15帐户,则会重新启用默认的特权用户帐户,而不会通知管理员系统。“在这种情况下,攻击者可以使用此帐户登录受影响的设备并执行具有完全管理权限的命令,”思科在周三的咨询中解释道。“[它]可能允许未经身份验证的远程攻击者绕过受影响设备的用户身份验证机制。”
由于交换机用于管理LAN,因此成功利用意味着远程攻击者将获得对诸如防火墙之类的网络安全功能的访问,以及用于管理网络设备的语音,数据和无线连接的管理接口。
思科表示,虽然预计未来会有一些(尚未宣布的)点,但没有补丁来解决这个漏洞。但是有一个简单的解决方法:只需在设备配置中添加至少一个访问权限设置为级别15的用户帐户。
用户可以“使用admin作为用户ID配置帐户,将访问权限设置为15级,并通过将<strong_password>替换为用户选择的复杂密码来定义密码”,根据该通报:“通过添加此用户帐户,将禁用默认的特权帐户。”
该缺陷影响范围波及思科小型企业200系列智能交换机,250系列智能交换机,300系列管理型交换机,350系列管理型交换机,Cisco 350X系列可堆叠管理型交换机,500系列可堆叠管理型交换机和550X系列可堆叠管理型交换机。
据该报道称,思科220系列和200E系列智能交换机不受影响,运行Cisco IOS软件,Cisco IOS XE软件或Cisco NX-OS软件的设备也不受影响。
1月早些时候,思科发布了18个修复程序,作为其每月更新的一部分,其中包括另一个小型企业的两个严重漏洞 - 安全设备工具。两个错误,一个是严重的,一个是高严重性,最终可能导致受影响设备上的永久拒绝服务(DoS) - 并且可以被简单发送电子邮件的攻击者利用。
——转载 &翻译
原文来源:threatpost
443
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
