- A+
漏洞允许攻击者访问用于收集操作系统和硬件信息的监视系统。
思科系统公司警告客户,远程且未经身份验证的攻击者可以访问网络设备的发现工具。 该漏洞可能允许攻击者登录系统并收集与主机操作系统和硬件相关的敏感数据。
该披露是周三发布的思科安全咨询和补丁( CVE-2019-1723 )的一部分。 该漏洞评级为严重,CVSS评级为9.8。
受影响的是Cisco公共服务平台收集器(CSPC),该工具用于从安装在网络上的Cisco设备发现和收集信息。 该缺陷包括一个默认的静态密码,可由未经身份验证的对手远程访问。 思科强调,访问CSPC不会向攻击者授予管理员权限。
“存在漏洞是因为受影响的软件的用户帐户具有默认的静态密码,”思科写道。 “攻击者可以通过使用此帐户远程连接到受影响的系统来利用此漏洞。 成功的攻击可能允许攻击者使用默认帐户登录CSPC。“
CSPC工具广泛用于思科服务产品,如Smart Net Total Care(SmartNet),合作伙伴支持服务(PSS)和业务关键服务。 CSPC收集的数据包括硬件和操作系统软件的库存报告,产品警报,配置最佳实践,技术服务范围和生命周期信息。
易受攻击的是Cisco CSPC版本2.7.2到2.7.4.5以及2.8.8.2之前的2.8.x版本。 思科表示,它不知道该漏洞的公开利用。
两个额外的错误评级高
周三,思科还向客户发出了两个评级较高的漏洞。 一个与思科电子邮件安全设备( CVE-2018-15460 )和另一个( CVE-2018-0389 )思科小型企业SPA514G IP电话有关。
通过思科邮件安全设备,安全建议警告该漏洞与设备的会话启动协议处理实施相关联。 该漏洞允许“远程攻击者导致受影响的设备无响应,导致拒绝服务状况,”思科写道。
思科表示不会修补或发布电子邮件设备的解决方法。 它解释说SPA514G IP电话已经达到使用寿命,因此不会收到更新。 它还强调类似的基于IP的电话(SPA51x,SPA51x和SPA52x)不受影响。
思科电子邮件安全设备思科AsyncOS软件的电子邮件过滤功能中发现的第二个错误使受影响的系统受到拒绝服务攻击。
“[该漏洞]可能允许未经身份验证的远程攻击者将CPU利用率提高到100%,从而导致受影响设备上的拒绝服务(DoS)状况,” 思科写道 。
思科表示,该漏洞“是由于对包含对白名单URL的引用的电子邮件进行了不当过滤。”它表示攻击者可以通过发送包含大量白名单URL的恶意电子邮件来利用该漏洞。 “一次成功的攻击可能会让攻击者造成持续的DoS状况,从而迫使受影响的设备停止扫描和转发电子邮件,”它写道。
思科针对思科邮件安全设备的思科AsyncOS软件受影响实例发布了软件更新和解决方法说明。
不要错过我们的免费实时 Threatpost网络研讨会 ,“探索HackerOne和GitHub的15大常见漏洞”,于3月20日星期三,美国东部时间下午2点。
漏洞专家Michiel Prins是网络研讨会赞助商HackerOne的联合创始人,GitHub的应用程序安全工程经理Greg Ose将加入Threatpost编辑Tom Spring,讨论当今软件中最常见的漏洞类型,以及它们对于什么样的影响。组织如果被利用。
