行业新闻
思科S系列交换机中的关键缺陷可能允许远程攻击
- 2023年5月19日
- 作者: 安鸾网络
- 分类目录 新闻资讯
思科发布了更新,以解决其小型企业系列交换机中的九个安全漏洞,未经身份验证的远程攻击者可能会利用这些漏洞运行任意代码或导致拒绝服务(DoS)情况。
“这些漏洞是由于发送到Web界面的请求验证不当,”思科说,并赞扬一位不愿透露姓名的外部研究人员报告了这些问题。
在CVSS评分系统上,9个漏洞中有4个被评为9.8(满分10分),因此它们在本质上是关键的。这九个缺陷影响了以下产品线:
250系列智能交换机(已在固件版本2.5.9.16中修复)
350系列受管交换机(已在固件版本2.5.9.16中修复)
350X系列可堆叠管理交换机(已在固件版本2.5.9.16中修复)
550X系列可堆叠管理交换机(已在固件版本2.5.9.16中修复)
Business 250系列智能交换机(固定在固件版本3.3.0.16中)
商用350系列管理型交换机(已在固件版本3.3.0.16中修复)
小型企业200系列智能交换机(不打补丁)
小型企业300系列管理型交换机(不打补丁)
小型企业500系列可堆叠管理交换机(不打补丁)
每个缺陷的简要说明如下:
CVE-2023-20159(CVSS评分:9.8分)思科小型企业系列交换机堆栈缓冲区溢出漏洞
CVE-2023-20160(CVSS评分:9.8分)思科小型企业系列交换机未经身份验证的BSS缓冲区溢出漏洞
CVE-2023-20161(CVSS评分:9.8分)思科小型企业系列交换机未经身份验证堆栈缓冲区溢出漏洞
CVE-2023-20189(CVSS评分:9.8分)思科小型企业系列交换机未经身份验证堆栈缓冲区溢出漏洞
CVE-2023-20024(CVSS评分:8.6分)思科小型企业系列交换机未经身份验证的堆缓冲区溢出漏洞
CVE-2023-20156(CVSS评分:8.6分)思科小型企业系列交换机未经身份验证的堆缓冲区溢出漏洞
CVE-2023-20157(CVSS得分:8.6):思科小型企业系列交换机未经身份验证的堆缓冲区溢出漏洞
CVE-2023-20158(CVSS评分:8.6):思科小型企业系列交换机未经身份验证的拒绝服务漏洞
CVE-2023-20162(CVSS评分:7.5分)思科小型企业系列交换机未经身份验证的配置读取漏洞
成功利用上述漏洞可能允许未经身份验证的远程攻击者通过基于Web的用户界面发送一个经过特殊设计的请求,在受影响的设备上执行具有root权限的任意代码。
另外,它们也可能被滥用来触发DoS条件或通过恶意请求读取易受系统上未经授权的信息。
思科表示,由于小企业200系列智能交换机、小企业300系列管理交换机、小企业500系列可堆叠管理交换机已进入寿命终结阶段,它不打算发布固件更新。
这位网络设备专业人士还表示,他们意识到了概念证明(Poc)利用代码的可行性,但注意到它没有发现任何在野外恶意利用的证据。
随着思科设备成为威胁行为者利润丰厚的攻击载体,建议用户迅速采取行动,应用补丁来减轻潜在威胁。