如果你是一个安全管理员,有很多运行思科IOS和IOS XE软件的系统,那么今天绝对不是你的日子。
思科本周发布了25个“高”评级的安全建议,这些建议源自该公司建议应尽快修复的34个漏洞。这些漏洞将影响思科的一系列设备,其中IOS和IOS XE是该公司使用最广泛的操作系统。这些警告会影响防火墙、无线接入点和交换机。
例如,评分最高的威胁之一——8.6分(满分为10分)是多个漏洞思科IOS XE软件基于分区的防火墙功能可以让远程攻击者导致设备重新加载或停止通过防火墙,导致拒绝服务(DoS)。
思科表示,漏洞是由于不完全处理通过设备的第4层数据包。攻击者可以通过设备发送一定序列的通信模式来利用这些漏洞。
另一个8.6级的漏洞涉及分裂DNS功能Cisco IOS软件和Cisco IOS XE软件的可以让未经认证的远程攻击导致受影响的设备重载,导致DoS条件。
这个漏洞的出现是因为使用了正则表达式(regex)引擎DNS受影响版本的特性可能在处理DNS名称列表配置时超时。攻击者可以利用这个漏洞,试图解决受影响设备处理的地址或主机名,”Cisco表示。
还有一个8.6级的安全威胁涉及到DHCP思科cBR-8汇聚宽带路由器IOS XE软件的消息处理程序。该漏洞是由于在解析DHCP version 4 (DHCPv4)消息时错误处理不足造成的。攻击者可以通过向受影响设备的WAN接口或通过该接口发送恶意的DHCPv4消息来利用此漏洞。思科表示,成功利用该漏洞可以让攻击者重新加载受影响的设备。
其他一些威胁警告包括:
- 一个脆弱的WPA2和WPA3安全实现思科IOS XE无线控制器软件为Cisco Catalyst 9000系列可以让未经认证的,相邻的攻击者发送特制的身份验证数据包到受影响的设备。一个成功的攻击可能会导致其重新加载,导致DoS条件。该漏洞的WPA2期间是由于不正确的数据包处理和WPA3验证握手配置用于下dot1x或预共享密钥(PSK)的认证密钥管理(AKM)与802.11r标准BSS快速转换(FT)使能时,思科说明。
- 一个脆弱的伞连接器用于Cisco Catalyst 9200系列交换机Cisco IOS XE软件的组件可以允许未经认证的远程攻击者触发重载,导致DOS状态受影响的设备上。解析DNS请求时,该漏洞是由于错误处理不足。攻击者可以通过发送恶意的一系列DNS请求到受影响设备的伞形连接客户端界面的利用此漏洞。
- 的多重漏洞思科IOS XE的web管理框架软件可以允许一个通过身份验证的、具有只读特权的远程攻击者将其提升到管理员在受影响的设备上。例如,思科IOS XE软件web管理框架的api漏洞就可能导致此类攻击。思科IOS XE软件的web管理框架在身份验证控制方面的另一个弱点是,允许拥有只读权限的经过身份验证的远程攻击者将权限提升到管理员在受影响的设备上。
没有解决方案,但是解决所有漏洞的补丁或软件更新是可用的可用,思科。