思科已经修复了其IOS XE软件的三个关键安全漏洞,该软件被用于各种核心路由器和交换机。
这三个关键警告是一项大规模发布的32安全警报,其中许多漏洞都与IOS xe相关,包括防火墙、SD-WAN和无线访问漏洞。
在关键补丁中,最糟糕的是在Cisco IOS XE软件用于Cisco Catalyst 9000家庭无线控制器;它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。
该漏洞可能允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在受影响的设备上造成拒绝服务(DoS)条件。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。
Cisco表示,成功的攻击可以允许攻击者使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS。
的第二个关键的警告-与9.8 CVSS评级-影响思科IOS XE SD-WAN软件,并可能让攻击者在SD-WAN设备上设置缓冲区溢出,思科说。
思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送精心设计的流量来利用这个漏洞。成功的攻击可能会导致缓冲区溢出,并可能执行任意命令根-或导致设备重新加载,这可能导致DOS条件。”
第三重要的警告也有9.8 CVSS评级,包括一个弱点在身份验证、授权、和会计(AAA)思科IOS XE的功能软件,可以让攻击者安装、操作或删除受影响的配置设备,造成内存泄露,结果在一个DoS。该漏洞允许攻击者绕过NETCONF或RESTCONF认证。
Cisco表示:“一个成功的漏洞利用可以允许攻击者使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS。”
思科说有一个解决方案解决此漏洞的方法:删除启用密码并配置启用秘密。还有一个缓解解决此漏洞的方法:为了限制此漏洞的攻击面,请确保NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问。
思科发布自由软件解决关键漏洞的更新。