关键讯息,D1时间送达!
思科的三款超可靠无线回程(URWB)硬件产品被曝存在严重漏洞(CVE-2024-20418),攻击者可利用该漏洞通过构造HTTP请求劫持接入点的Web界面,进而以root权限执行任意命令,导致系统完全沦陷。该漏洞源于Web管理界面输入验证不当,仅在URWB模式下运行易受攻击的软件时受影响。URWB产品适用于工业或户外环境,支持高速、可靠、低延迟的无线连接,应用场景包括列车网络、港口起重机无线控制等。鉴于漏洞严重性(CVSS评分10.0),管理员需通过思科更新渠道紧急应用软件补丁进行修复。目前,思科尚未发现针对该漏洞的利用行为。
思科的超可靠无线回程(Ultra-Reliable Wireless Backhaul,URWB)硬件遭遇了一个难以忽视的漏洞,攻击者可能利用该漏洞通过构造的HTTP请求劫持接入点的Web界面。
该漏洞编号为CVE-2024-20418,思科表示此问题影响三款产品:Catalyst IW9165D重型接入点、Catalyst IW9165E坚固型接入点和无线客户端,以及Catalyst IW9167E重型接入点。
然而,思科表示,只有当接入点在URWB模式下运行易受攻击的软件时,它们才会受到影响。管理员可以通过使用show mpls-config命令来确认URWB模式是否在运行。如果该模式已禁用,则设备未受影响。思科其他不使用URWB的无线接入点产品不受影响。
关于漏洞本身:
“此漏洞是由于基于Web的管理界面输入验证不当造成的。攻击者可以通过向受影响系统的基于Web的管理界面发送构造的HTTP请求来利用此漏洞,”思科在其公告中称。
“成功利用此漏洞后,攻击者可以在受影响设备的底层操作系统上以root权限执行任意命令。”
换言之,这将导致完全的系统沦陷。此类漏洞在通用弱点枚举(Common Weakness Enumeration,CWE)数据库中编号为77,又称“命令注入”。
这一点很重要,因为就在最近7月,美国网络安全和基础设施安全局(CISA)曾警告过此类漏洞的危险。
“当制造商在构建要在底层操作系统上执行的命令时,未能正确验证和清理用户输入时,就会出现OS命令注入漏洞,”CISA写道。
该机构敦促制造商采用安全设计原则来避免这一问题,这是一种礼貌的说法,意指这类错误本不应再发生。
谁在使用URWB接入点?
URWB产品线是一系列适用于工业或户外环境的坚固型接入点。URWB的底层技术在2020年思科收购意大利公司Fluidmesh Networks时归入思科麾下。
URWB模式使接入点能够在通常难以保证的环境中支持高速、可靠、低延迟的无线连接。
在2021年一篇关于该技术的博客中,Fluidmesh Networks的联合创始人兼前首席执行官Umberto Malesci列举了该技术的一些应用场景,包括在法国运行的1000台IP摄像头组成的列车网络、在马耳他实现港口起重机的无线控制,以及作为支持米兰无人驾驶地铁列车的基础设施的一部分。
“想象一下,在火车、地铁、公共交通、矿山或港口上远程监控和控制移动资产。如果你在查看电子邮件时丢失了几个数据包,没有人会注意到。相比之下,如果你在远程控制起重机或自动驾驶车辆时数据包丢失,可能会产生严重后果,”Malesci写道。
这些应用场景的关键性凸显了修补此漏洞的高优先级,然而,考虑到此类接入点通常隔离在专用的物联网网络段上,目前尚不清楚攻击者直接针对该漏洞的难度有多大。如果是这种情况,攻击者可能需要无线接近才能利用该漏洞。
修补建议
由于该漏洞的CVSS评分为最高的10.0,且没有可用的解决方法,因此管理员需要通过思科的更新渠道应用软件补丁来修复该漏洞。思科表示,使用软件版本17.14及更早版本的组织应更新到已修复的发行版,而使用17.15版本的组织应更新到17.15.1版本。
任何通过不受支持的渠道购买URWB接入点的组织,建议联系思科技术援助中心。
不过,有一个好消息是,思科的产品安全事件响应团队(PSIRT)表示,他们并未发现任何针对该漏洞的利用行为。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
原文始发于微信公众号(信息安全D1net):思科物联网无线接入点遭受严重命令注入漏洞攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论