在思科的垃圾堆里27日安全警告今天,只有一个被认为是关键的——它的火力的弱点防火墙允许攻击者绕过身份验证并在特定设备上执行具有管理特权的任意操作的系统。
火力管理中心(FMC)的漏洞——在满分10分中被评为9.8分——来自于对来自外部认证服务器的轻量级目录访问协议(LDAP)认证响应处理不当。有了它,攻击者可以通过向受影响的设备发送精心设计的HTTP请求并获得对其基于web的管理界面的管理访问来利用该漏洞。
思科表示,如果FMC软件被配置为通过外部LDAP服务器对基于web的管理界面的用户进行身份验证,则该漏洞将影响FMC软件。
客户可以通过升级到解决缺陷的软件版本或安装热修复补丁来安装修复程序。修复选项菜单如下:
- 发布早于6.1.0:迁移到6.2.3版本并应用可用的热修复程序。
- 6.1.0:应用热修复程序(Sourcefire_3D_Defense_Center_S3_Hotfix_ES-6.1.0.8-2.sh)或迁移到6.2.3版本并应用可用的热修复程序。
- 从2.0到6.2.2:迁移到6.2.3版本并应用可用的热修复程序。
- 2.3或6.3.0:应用可用的热修复程序;维护版本将在今年晚些时候发布。
- 4.0:应用可用的修补程序或升级到版本6.4.0.7。
- 5.0:升级到6.5.0.2。
其他一些安全警告是针对思科的SD-WAN包中。第一个问题涉及思科IOS XE SD-WAN软件的一个弱点,该软件可能让未经身份验证的本地攻击者获得未经授权的访问权限,并完全控制受影响的设备。
思科表示,该漏洞是由于在受影响设备的默认配置中存在默认凭据。可以访问受影响设备的攻击者可以使用提升的权限登录。此漏洞影响运行Cisco IOS XE SD-WAN软件版本16.11或更早的思科设备。
第二个与SD-WAN相关的问题是Cisco SD-WAN解决方案vManage软件的CLI。攻击者可以利用漏洞将特权提升到根级别的特权。该漏洞是由于输入验证不足造成的。攻击者可以通过向受影响的系统发送一个精心设计的文件来利用此漏洞。该漏洞影响思科SD-WAN解决方案vManage软件版本18.4.1,思科声明。
思科表示已经发布了软件更新两个SD-WAN漏洞。
另外两个被高度评价的漏洞是思科的边界网关协议(BGP)以太网VPN (EVPN)的实现Cisco IOS XR软件的功能允许未经身份验证的远程攻击者导致拒绝服务(DoS)条件。
的其他漏洞是由于包含精心制作的EVPN属性的BGP更新消息处理不正确造成的。攻击者可以通过向受影响的系统发送具有畸形属性的BGP EVPN更新消息来利用这些漏洞。思科表示,一个成功的漏洞可以让攻击者导致BGP进程意外重启,从而导致DoS状态。
思科发布免费版软件更新这就解决了漏洞。