如果你是一个安全管理员,有很多运行思科IOS和IOS XE软件的系统,那么今天绝对不是你的日子。
思科本周发布了25个“高”评级的安全建议,这些建议源自该公司建议应尽快修复的34个漏洞。这些漏洞将影响思科的一系列设备,其中IOS和IOS XE是该公司使用最广泛的操作系统。这些警告会影响防火墙、无线接入点和交换机。
例如,评分最高的威胁之一——8.6分(满分为10分)是多个漏洞思科IOS XE软件基于分区的防火墙功能可以让远程攻击者导致设备重新加载或停止通过防火墙,导致拒绝服务(DoS)。
思科表示,漏洞是由于不完全处理通过设备的第4层数据包。攻击者可以通过设备发送一定序列的通信模式来利用这些漏洞。
另一个8.6级的漏洞涉及分裂DNS功能的思科IOS软件和思科IOS XE软件可以让一个未经身份验证的远程攻击者重新加载受影响的设备,从而导致DoS状态。
这个漏洞的出现是因为使用了正则表达式(regex)引擎DNS受影响版本的特性可能在处理DNS名称列表配置时超时。攻击者可以利用这个漏洞,试图解决受影响设备处理的地址或主机名,”Cisco表示。
还有一个8.6级的安全威胁涉及到DHCP思科cBR-8汇聚宽带路由器IOS XE软件的消息处理程序。该漏洞是由于在解析DHCP version 4 (DHCPv4)消息时错误处理不足造成的。攻击者可以通过向受影响设备的WAN接口或通过该接口发送恶意的DHCPv4消息来利用此漏洞。思科表示,成功利用该漏洞可以让攻击者重新加载受影响的设备。
其他一些威胁警告包括:
- 一个脆弱的WPA2和WPA3安全实现针对Cisco Catalyst 9000系列的IOS XE无线控制器软件可以让一个未经身份验证的邻近攻击者向受影响的设备发送一个精心设计的身份验证包。一个成功的利用可能导致它重新加载,从而导致DoS条件。思科表示,该漏洞是由于在启用802.11r BSS快速转换(FT)的情况下,配置为dot1x或预共享密钥(PSK)认证密钥管理(AKM)时,WPA2和WPA3认证握手过程中不正确的数据包处理造成的。
- 一个脆弱的伞连接器用于Cisco Catalyst 9200系列开关的思科IOS XE软件组件可以允许未经身份验证的远程攻击者触发重新加载,从而使受影响的设备处于DOS状态。该漏洞是由于解析DNS请求时错误处理不足造成的。攻击者可以利用此漏洞向受影响设备的伞形连接器客户端接口发送一系列恶意DNS请求。
- 的多重漏洞思科IOS XE的web管理框架软件可以允许一个通过身份验证的、具有只读特权的远程攻击者将其提升到管理员在受影响的设备上。例如,思科IOS XE软件web管理框架的api漏洞就可能导致此类攻击。思科IOS XE软件的web管理框架在身份验证控制方面的另一个弱点是,允许拥有只读权限的经过身份验证的远程攻击者将权限提升到管理员在受影响的设备上。
没有解决方案,但是解决所有漏洞的补丁或软件更新是可用的可用,思科。