多款Cisco SD-WAN产品缓冲区溢出漏洞 (CVE-2021-1300) 预警

admin 2022年7月6日08:37:01安全漏洞评论5 views1509字阅读5分1秒阅读模式
思科本周接连发布数项安全公告,以修补其SD-WAN设备、管理软件Smart Software Manager Satellite及DNA Center等产品安全漏洞,包含高达9.8及9.9的重大风险漏洞。

思科针对SD-WAN设备发布CVE-2021-1299及CVE-2021-1300。其中CVE-2021-1299为一举令注入漏洞,源于SD-WAN vManage Software对用户输入的template组态信息验证不当,可让攻击者发送恶意组态开采,而取得根权限的访问权,得以以管理员权限执行任意程序代码。CVE-2021-1300则属于SD-WAN Software的缓冲溢出漏洞,攻击者可发送恶意IP流量开采造成系统缓冲溢出,也能借此在底层操作系统上,以根权限执行任意程序代码。两者CVSS 3.1风险层级分别达到9.9及9.8,属于重大漏洞。

这两项软件组件也分别出现中度风险漏洞,包括Cisco SD-WAN CLI的CVE-2021-1261指令注入漏洞,及SD-WAN Software CVE-2021-1301缓冲溢出漏洞。

最后,思科修补了企业意向型网络软件的DNA Center1.3.1.0版本以前的指令注入漏洞CVE-2021-1264,可让攻击者发送恶意指令或经由API call执行指令开采,而在由DNA Center管理的系统上执行任意CLI指令,风险评分也达到9.6。

上述漏洞多半没有权宜性的避险做法(workaround)。思科表示尚未发现漏洞有被滥用的证据,不过由于风险重大,呼吁用户尽快安装修补程序。

一、基本情况 
近日,Cisco发布了多款Cisco SD-WAN产品缓冲区溢出漏洞的风险通告,相关CVE编号:CVE2021-1300、CVE-2021-1301。其中CVE-2021-1300漏洞风险较大,攻击者可利用该漏洞以ROOT权 限在受影响操作系统上执行任意代码。目前,Cisco官方已发布新版本修复该漏洞,建议受影响用户 及时升级至新版本,做好资产自查以及预防工作,以免遭受黑客攻击。 

二、漏洞等级:高危 

三、漏洞详情 
Cisco SD-WAN是Cisco公司开发的软件定义广域网产品,提供系统级无线局域网功能,如安全策 略,入侵防御,RF管理等。该漏洞是由于未能正确处理IP流量产生缓冲区溢出漏洞,攻击者通过向受影响的系统发送恶意IP流 量,成功利用该漏洞的攻击者以ROOT权限在受影响的操作系统上执行任意代码。 

四、影响范围 
SD-WAN Software:<=18.3.x,18.4.x<18.4.5,19.2.x<19.2.2,19.3.x,20.1.x<20.1.1,20.3.x<20.3.1,20.4.x<20.4.1
IOS XE SD-WAN Software:<16.12.4
IOS XE Software:17.2.x<17.2.1,17.3.x<17.3.1,17,4,x<17.4.1

五、处置建议 
目前,Cisco官方已发布新版本修复该漏洞,下载地址:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-bufovulnsB5NrSHbj

六、参考链接https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-bufovulnsB5NrSHbj

原文始发于微信公众号(FCSQ安全团队):多款Cisco SD-WAN产品缓冲区溢出漏洞 (CVE-2021-1300) 预警

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月6日08:37:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  多款Cisco SD-WAN产品缓冲区溢出漏洞 (CVE-2021-1300) 预警 http://cn-sec.com/archives/1055938.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: