思科交換機的新漏洞恐引起新一輪全球掃描
近期,思科修復了旗下明星產品——Cisco Small Business 220系列智能交換機上的三個高危漏洞。
這三個漏洞分別是身份驗證(CVE-2019-1912,評級爲致命,評分爲9.1)、遠程命令(CVE-2019-1913,評級爲致命,評分爲9.8)和命令 (CVE-2019-1914,評級爲中等,評分爲7.2)。
這三個漏洞中,前兩個最爲危險,因爲攻擊者可以利用它們在不經過身份驗證的情況進行遠程攻擊。考慮到思科剛剛纔公佈漏洞,現公網上任意思科220系列智能交換機都有可能受到攻擊。
在今天發佈的一份安全建議中,思科表示,攻擊者可以利用身份驗證繞過漏洞,將文件非法上傳到思科220交換機上。攻擊者可藉此直接替換配置文件,或者植入一個反向shell。
第二個漏洞(也是這三個漏洞中最危險的一個)可讓攻擊者以root權限執行任意命令,徹底接管設備。而且這隻需要簡單的HTTP或HTTPS交互即可實現。
安全補丁和防禦措施
好消息是,這三個漏洞都是基於交換機的web管理界面。所以設備管理者可以通過直接關閉web管理界面臨時防禦攻擊,當然,最好還是及時安裝思科發佈的官方補丁。
在思科發佈的Cisco Small Business 220系列智能交換機固件版本1.1.4.4中已修復了這三個bug。據思科自己的說法,之前的所有版本都存在被攻擊風險。
思科宣稱是物聯網網絡安全公司VDOO發現並報告了這三個漏洞。但在撰寫本文時,VDOO還沒有發佈任何PoC或漏洞技術細節。
有興趣的安全研究人員可自行對思科路由器的固件進行逆向,說不定能發現這三個漏洞的利用方法。
考慮到思科是當今互聯網設備的領頭公司之一,預計在不久的將來,將有不少攻擊者將這三個漏洞包裝成攻擊工具,對全球進行掃描。據跟蹤殭屍網絡活動和惡意網絡掃描的網絡安全公司Bad packages的說法,在每週都有不少針對思科設備的惡意掃描。
爲了徹底防禦住這種攻擊,每個企業的網絡管理員最好能儘快摸清旗下相關思科設備,打上安全補丁。