聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞,而无需用户交互。思科在本周三发布的安全公告中提到,“该漏洞是因为对 web 管理接口的输入验证不当造成的。攻击者可将构造的 HTTP 请求发送给受影响系统的 web 管理接口,利用该漏洞。成功利用将导致攻击者以 root 权限在受影响设备的底层操作系统上运行任意命令。”
思科解释称,该漏洞影响 Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients 和 Catalyst IW9167E Heavy Duty Access Points,不过前提是它们在运行易受攻击的软件并启用了 URWB 操作模式。
思科产品安全事件响应团队 (PSIRT) 尚未发现公开的利用代码或该漏洞已遭利用的整局。
管理员可通过查看 “show mpls-config” CLI 命令是否可用的方式,判断 URWB 运营模式是否启用。如该命令不可用,URWB 未启用,则该设备不会受该漏洞影响。
思科还在7月份修复了位于思科 ASA 和 Firepower Threat Defense (FTD) 软件中的一个DoS 漏洞。该漏洞在4月份发现,当时被用于针对思科 VPN 设备的大规模暴力攻击活动中。
一个月之前,思科发布安全更新,修复了利用代码已公开的另外一个命令注入漏洞,可导致攻击者将在易受攻击系统上的权限提升为root。7月份,鉴于思科、Palo Alto 和 Ivanti 网络边缘设备遭多个漏洞(CVE-2024-20399、CVE-2024-3400和CVE-2024-21887)利用攻击,CISA和FBI 督促软件企业在交付前消除路径OS命令注入漏洞。
原文始发于微信公众号(代码卫士):思科满分漏洞可使黑客以root身份运行任意命令
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论