首页保安思科:IOS和IOS XE软件中的25个严重缺陷

思科:IOS和IOS XE软件中的25个严重缺陷

思科已警告客户使用IOS和ISO XE软件对25个高安全漏洞(共34个)应用更新。

影响这些影响ISO和ISO XE的大量缺陷的原因在于,这些技巧是作为思科广泛使用的软件半年版本的一部分而发布的 路由器 和思科网络交换机,分别于XNUMX月和XNUMX月发布。

Cisco IOS代表Internetworking操作系统,并且基于Linux。

25个缺陷的严重性很高,得分为8,8。 一个称为CVE-2020-3400的缺陷是一个Cisco IOS XE软件用户界面(UI)绕过漏洞,该漏洞可能允许具有有效凭据的远程入侵者使用UI的一部分。 这是由于对Web UI访问请求的授权不足,并且可能允许只读用户执行具有Admin用户权限的操作。

“入侵者可以利用这一点 漏洞 将已编辑的HTTP请求发送到Web UI。 成功的利用可能使攻击者能够使用 部分 它应该无法访问的Web UI的详细信息”,思科解释道。

尽管没有解决方案,但思科指出禁用HTTP Server功能会阻止此错误的攻击媒介,直到升级受影响的设备为止。

第二个技巧涉及IOS XE Web管理中的两个可伸缩性特权。 这些被称为CVE-2020-3141和CVE-2020-3425,可以允许远程 侵入者 具有只读权限,以增加受影响设备上用户管理员级别的权限。

思科指出,攻击者无需利用这两个漏洞来攻击受影响的设备。 CVE-2020-3141是由于缺乏对某些HTTP API请求的访问控制和验证机制而导致的。 设备 受到影响。

“攻击者可以通过向受影响的设备发送修改后的HTTP请求来利用此漏洞。 “利用此漏洞可能允许入侵者作为只读用户像执行管理员一样执行CLI命令或配置更改。”

CVE-2020-3425位于Web管理框架中的身份验证组件中,该组件可能允许攻击者发送内置的API调用和特权身份验证徽章,以向受影响的设备提供管理员特权。

再一次,没有解决方案。 但是,思科指出:“禁用HTTP Server功能可以消除攻击者的这些漏洞,并且可以适当地缓解,直到升级受影响的设备为止。”

评分为8,6的其他建议包括拒绝服务(DoS)漏洞,这些漏洞会影响运行IOS XE的各种产品。

实时新闻