思科满分漏洞可使黑客以root身份运行任意命令

admin 2024年11月7日21:41:02评论27 views字数 917阅读3分3秒阅读模式

思科满分漏洞可使黑客以root身份运行任意命令聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科满分漏洞可使黑客以root身份运行任意命令
思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418),它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。

该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞,而无需用户交互。思科在本周三发布的安全公告中提到,“该漏洞是因为对 web 管理接口的输入验证不当造成的。攻击者可将构造的 HTTP 请求发送给受影响系统的 web 管理接口,利用该漏洞。成功利用将导致攻击者以 root 权限在受影响设备的底层操作系统上运行任意命令。”

思科解释称,该漏洞影响 Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients 和 Catalyst IW9167E Heavy Duty Access Points,不过前提是它们在运行易受攻击的软件并启用了 URWB 操作模式。

思科产品安全事件响应团队 (PSIRT) 尚未发现公开的利用代码或该漏洞已遭利用的整局。

管理员可通过查看 “show mpls-config” CLI 命令是否可用的方式,判断 URWB 运营模式是否启用。如该命令不可用,URWB 未启用,则该设备不会受该漏洞影响。

思科还在7月份修复了位于思科 ASA 和 Firepower Threat Defense (FTD) 软件中的一个DoS 漏洞。该漏洞在4月份发现,当时被用于针对思科 VPN 设备的大规模暴力攻击活动中。

一个月之前,思科发布安全更新,修复了利用代码已公开的另外一个命令注入漏洞,可导致攻击者将在易受攻击系统上的权限提升为root。7月份,鉴于思科、Palo Alto 和 Ivanti 网络边缘设备遭多个漏洞(CVE-2024-20399、CVE-2024-3400和CVE-2024-21887)利用攻击,CISA和FBI 督促软件企业在交付前消除路径OS命令注入漏洞。

原文始发于微信公众号(代码卫士):思科满分漏洞可使黑客以root身份运行任意命令

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日21:41:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   思科满分漏洞可使黑客以root身份运行任意命令https://cn-sec.com/archives/3370770.html

发表评论

匿名网友 填写信息