合勤提醒注意路由器中的严重OS命令注入漏洞

admin 2024年9月25日10:13:47评论1 views字数 1556阅读5分11秒阅读模式

合勤提醒注意路由器中的严重OS命令注入漏洞聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

合勤科技发布安全更新,修复了影响多款商业路由器中的一个严重漏洞 (CVE-2024-7261),可能导致未认证攻击者执行OS命令注入。

该漏洞的CVSSv3评分为9.8,是一个因用户提供数据处理不当引发的输入验证漏洞,可导致远程攻击者在主机操作系统上执行任意命令。

合勤科技提醒称,“某些AP和安全路由器版本的CGI程序的 ‘host’ 参数中的特殊元素中和不当,可导致未认证攻击者通过向易受攻击设备发送构造 cookie 的方式执行OS命令。”

受该漏洞影响的合勤科技访问点包括:

  • NWA 系列:NWA50AX、NWA50AX PRO、NWA55AXE、NWA90AX、NWA90AX PRO、NWA110AX、NWA130BE、NWA210AX和NWA220AX-6E,所有7.00及以下版本均易受攻击,需升级至7.00(ABYW.2) 及后续版本;

  • NWA1123-AC PRO,所有6.28及以下版本均易受攻击,需升级至6.28(ABHD.3) 及后续版本;

  • NWA1123ACv3、WAC500、WAC500H:所有6.70及以下版本均易受攻击,需升级至6.70(ABVT.5)及后续版本;

  • WAC 系列:WAC6103D-I、WAC6502D-S、WAC6503D-S、 WAC6552D-S、WAC6553D-E,所有6.28及以下版本均易受攻击,需升级至6.28(AAXH.3) 及后续版本;

  • WAX 系列:WAX300H、WAX510D、WAX610D、WAX620D-6E、WAX630S、WAX640S-6E、WAX650S和WAX655E,所有7.00及以下版本易受攻击,需升级至upgrade to 7.00(ACHF.2) 及后续版本;

  • WBE 系列:WBE530、WBE660S,所有7.00及以下版本均易受攻击,需升级至7.00(ACLE.2) 及后续版本

合勤科技表示,运行V2.00 (ACIP.2) 的安全路由器 USG LITE 60AX也受影响,但该机型通过云自动更新至 V2.00 (ACIP.3),即执行了相关补丁。

合勤提醒注意路由器中的严重OS命令注入漏洞
更多修复方案

合勤科技还未位于APT和USG FLEX 防火墙中的多个高危漏洞发布安全更新,概览如下:

  • CVE-2024-6343:CGI 程序中的缓冲区溢出漏洞,可被认证管理员通过发送构造HTTP请求的方式触发DoS。

  • CVE-2024-7203: 认证后命令注入漏洞,可导致认证管理员通过构造的CLI命令执行OS命令。

  • CVE-2024-42057:IPSec VPN中的命令注入漏洞,可导致未认证攻击者通过在 User-Based-PSK模式中构造的长用户名执行OS命令。

  • CVE-2024-42058:空指针解引用漏洞,可通过未认证攻击者发送的构造数据包引发DoS。

  • CVE-2024-42059:认证后命令注入漏洞,可导致认证管理员通过FTP上传构造的压缩语言文件,执行OS命令。

  • CVE-2024-42060:认证后命令注入漏洞,可导致认证管理员上传构造的内部用户协议文件执行OS命令。

  • CVE-2024-42061: Reflected XSS in "dynamic_script.cgi" 中的反射型XSS,可导致攻击者诱骗用户访问构造的URL,泄露基于浏览器的信息。

其中最值得注意的是CVE-2024-42057(CVSS v3 8.1,“高危”)。它是位于IPSec VPN特性中的一个命令注入漏洞,可在无需认证的情况下遭远程利用。其严重性因为利用所需的特定配置要求而减轻,包括在 User-Based-PSK 认证模式下配置设备并拥有一个用户名超过28个字符的用户。

关于受影响防火墙的更多详情,可见合勤科技发布的安全通告。

原文始发于微信公众号(代码卫士):合勤提醒注意路由器中的严重OS命令注入漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月25日10:13:47
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   合勤提醒注意路由器中的严重OS命令注入漏洞https://cn-sec.com/archives/3129846.html

发表评论

匿名网友 填写信息