思科本周接连发布数项安全公告,以修补其SD-WAN设备、管理软件Smart Software Manager Satellite及DNA Center等产品安全漏洞,包含高达9.8及9.9的重大风险漏洞。
思科针对SD-WAN设备发布CVE-2021-1299及CVE-2021-1300。其中CVE-2021-1299为一举令注入漏洞,源于SD-WAN vManage Software对用户输入的template组态信息验证不当,可让攻击者发送恶意组态开采,而取得根权限的访问权,得以以管理员权限执行任意程序代码。CVE-2021-1300则属于SD-WAN Software的缓冲溢出漏洞,攻击者可发送恶意IP流量开采造成系统缓冲溢出,也能借此在底层操作系统上,以根权限执行任意程序代码。两者CVSS 3.1风险层级分别达到9.9及9.8,属于重大漏洞。
这两项软件组件也分别出现中度风险漏洞,包括Cisco SD-WAN CLI的CVE-2021-1261指令注入漏洞,及SD-WAN Software CVE-2021-1301缓冲溢出漏洞。
最后,思科修补了企业意向型网络软件的DNA Center1.3.1.0版本以前的指令注入漏洞CVE-2021-1264,可让攻击者发送恶意指令或经由API call执行指令开采,而在由DNA Center管理的系统上执行任意CLI指令,风险评分也达到9.6。
上述漏洞多半没有权宜性的避险做法(workaround)。思科表示尚未发现漏洞有被滥用的证据,不过由于风险重大,呼吁用户尽快安装修补程序。
近日,Cisco发布了多款Cisco SD-WAN产品缓冲区溢出漏洞的风险通告,相关CVE编号:CVE2021-1300、CVE-2021-1301。其中CVE-2021-1300漏洞风险较大,攻击者可利用该漏洞以ROOT权 限在受影响操作系统上执行任意代码。目前,Cisco官方已发布新版本修复该漏洞,建议受影响用户 及时升级至新版本,做好资产自查以及预防工作,以免遭受黑客攻击。
Cisco SD-WAN是Cisco公司开发的软件定义广域网产品,提供系统级无线局域网功能,如安全策 略,入侵防御,RF管理等。该漏洞是由于未能正确处理IP流量产生缓冲区溢出漏洞,攻击者通过向受影响的系统发送恶意IP流 量,成功利用该漏洞的攻击者以ROOT权限在受影响的操作系统上执行任意代码。
SD-WAN Software:<=18.3.x,18.4.x<18.4.5,19.2.x<19.2.2,19.3.x,20.1.x<20.1.1,20.3.x<20.3.1,20.4.x<20.4.1
IOS XE SD-WAN Software:<16.12.4
IOS XE Software:17.2.x<17.2.1,17.3.x<17.3.1,17,4,x<17.4.1
目前,Cisco官方已发布新版本修复该漏洞,下载地址:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-bufovulnsB5NrSHbj
六、参考链接https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-bufovulnsB5NrSHbj
原文始发于微信公众号(FCSQ安全团队):多款Cisco SD-WAN产品缓冲区溢出漏洞 (CVE-2021-1300) 预警
评论