关键讯息,D1时间送达!
思科的三款超可靠无线回程(URWB)硬件产品被曝存在严重漏洞(CVE-2024-20418),攻击者可利用该漏洞通过构造HTTP请求劫持接入点的Web界面,进而以root权限执行任意命令,导致系统完全沦陷。该漏洞源于Web管理界面输入验证不当,仅在URWB模式下运行易受攻击的软件时受影响。URWB产品适用于工业或户外环境,支持高速、可靠、低延迟的无线连接,应用场景包括列车网络、港口起重机无线控制等。鉴于漏洞严重性(CVSS评分10.0),管理员需通过思科更新渠道紧急应用软件补丁进行修复。目前,思科尚未发现针对该漏洞的利用行为。
思科的超可靠无线回程(Ultra-Reliable Wireless Backhaul,URWB)硬件遭遇了一个难以忽视的漏洞,攻击者可能利用该漏洞通过构造的HTTP请求劫持接入点的Web界面。
该漏洞编号为CVE-2024-20418,思科表示此问题影响三款产品:Catalyst IW9165D重型接入点、Catalyst IW9165E坚固型接入点和无线客户端,以及Catalyst IW9167E重型接入点。
然而,思科表示,只有当接入点在URWB模式下运行易受攻击的软件时,它们才会受到影响。管理员可以通过使用show mpls-config命令来确认URWB模式是否在运行。如果该模式已禁用,则设备未受影响。思科其他不使用URWB的无线接入点产品不受影响。
关于漏洞本身:
“此漏洞是由于基于Web的管理界面输入验证不当造成的。攻击者可以通过向受影响系统的基于Web的管理界面发送构造的HTTP请求来利用此漏洞,”思科在其公告中称。
“成功利用此漏洞后,攻击者可以在受影响设备的底层操作系统上以root权限执行任意命令。”
换言之,这将导致完全的系统沦陷。此类漏洞在通用弱点枚举(Common Weakness Enumeration,CWE)数据库中编号为77,又称“命令注入”。
这一点很重要,因为就在最近7月,美国网络安全和基础设施安全局(CISA)曾警告过此类漏洞的危险。
“当制造商在构建要在底层操作系统上执行的命令时,未能正确验证和清理用户输入时,就会出现OS命令注入漏洞,”CISA写道。
该机构敦促制造商采用安全设计原则来避免这一问题,这是一种礼貌的说法,意指这类错误本不应再发生。
谁在使用URWB接入点?
URWB产品线是一系列适用于工业或户外环境的坚固型接入点。URWB的底层技术在2020年思科收购意大利公司Fluidmesh Networks时归入思科麾下。
URWB模式使接入点能够在通常难以保证的环境中支持高速、可靠、低延迟的无线连接。
在2021年一篇关于该技术的博客中,Fluidmesh Networks的联合创始人兼前首席执行官Umberto Malesci列举了该技术的一些应用场景,包括在法国运行的1000台IP摄像头组成的列车网络、在马耳他实现港口起重机的无线控制,以及作为支持米兰无人驾驶地铁列车的基础设施的一部分。
“想象一下,在火车、地铁、公共交通、矿山或港口上远程监控和控制移动资产。如果你在查看电子邮件时丢失了几个数据包,没有人会注意到。相比之下,如果你在远程控制起重机或自动驾驶车辆时数据包丢失,可能会产生严重后果,”Malesci写道。
这些应用场景的关键性凸显了修补此漏洞的高优先级,然而,考虑到此类接入点通常隔离在专用的物联网网络段上,目前尚不清楚攻击者直接针对该漏洞的难度有多大。如果是这种情况,攻击者可能需要无线接近才能利用该漏洞。
修补建议
由于该漏洞的CVSS评分为最高的10.0,且没有可用的解决方法,因此管理员需要通过思科的更新渠道应用软件补丁来修复该漏洞。思科表示,使用软件版本17.14及更早版本的组织应更新到已修复的发行版,而使用17.15版本的组织应更新到17.15.1版本。
任何通过不受支持的渠道购买URWB接入点的组织,建议联系思科技术援助中心。
不过,有一个好消息是,思科的产品安全事件响应团队(PSIRT)表示,他们并未发现任何针对该漏洞的利用行为。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
关于企业网D1net(www.d1net.com)
国内主流的to B IT门户,同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)
如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿。封面图片来源于摄图网
投稿邮箱:
editor@d1net.com
合作电话:
010-58221588(北京公司)
021-51701588(上海公司)
合作邮箱:
Sales@d1net.com
企业网D1net旗下信众智是CIO(首席信息官)的专家库和智力输出及资源分享平台,有五万多CIO专家,也是目前最大的CIO社交平台。
信众智对接CIO为CIO服务,提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内最早的toB共享经济平台。同时提供猎头,选型点评,IT部门业绩宣传等服务。
扫描 “二维码” 可以查看更多详情
