- A+
默认配置允许对未经身份验证的攻击者进行完全管理员访问。
广泛部署的思科小型企业交换机软件中的一个关键且未修补的漏洞使远程未经身份验证的攻击者可以对该设备 - 以及网络 - 实现全面的管理控制。
思科小型企业交换机是为小型办公室和家庭办公室(SOHO)环境开发的,用于管理和控制小型局域网,只需少量工作站。 它们采用基于云,管理和非托管的“口味”,是资源紧张的小型企业的经济实惠(低于300美元)的解决方案。
存在漏洞(CVE-2018-15439),其严重基准CVSS严重等级为9.8,因为设备上的默认配置包括用于初始登录的默认特权用户帐户,无法从系统中删除。 管理员可以通过将访问权限设置为级别15的其他用户帐户配置来禁用此帐户。但是,如果从设备配置中删除了所有用户配置的权限级别15帐户,则会重新启用默认的特权用户帐户,而不会通知管理员系统。
“在这种情况下,攻击者可以使用此帐户登录受影响的设备并执行具有完全管理权限的命令,”思科在周三的咨询中解释道。 “[它]可能允许未经身份验证的远程攻击者绕过受影响设备的用户身份验证机制。”
由于交换机用于管理LAN,因此成功利用意味着远程攻击者将获得对诸如防火墙之类的网络安全功能的访问,以及用于管理网络设备的语音,数据和无线连接的管理接口。
思科表示,虽然预计未来会有一些(尚未宣布的)点,但没有补丁来解决这个漏洞。 但是有一个简单的解决方法:只需在设备配置中添加至少一个访问权限设置为级别15的用户帐户。
用户可以“使用admin作为用户ID配置帐户,将访问权限设置为15级,并通过将<strong_password>替换为用户选择的复杂密码来定义密码”,根据该通报。 “通过添加此用户帐户,将禁用默认的特权帐户。”
该缺陷影响思科小型企业200系列智能交换机,250系列智能交换机,300系列管理型交换机,350系列管理型交换机,Cisco 350X系列可堆叠管理型交换机,500系列可堆叠管理型交换机和550X系列可堆叠管理型交换机。
据该网络巨头称,思科220系列和200E系列智能交换机不受影响,运行Cisco IOS软件,Cisco IOS XE软件或Cisco NX-OS软件的设备也不受影响。
1月早些时候,思科发布了18个修复程序,作为其每月更新的一部分,其中包括另一个小型企业的两个严重漏洞 - 安全设备工具。 两个错误,一个是严重的,一个是高严重性,最终可能导致受影响设备上的永久拒绝服务 (DoS) - 并且可以被简单发送电子邮件的攻击者利用。