- A+
尽管思科是世界领先的技术公司之一,但它仍然容易受到各种产品安全漏洞的影响。 这次, 数字取证专家报告了该公司运行IOS XE操作系统的设备存在严重漏洞的情况。
跟踪为CVE-2019-12643,这是Cisco IOS XE的REST API虚拟服务容器中存在的一个关键漏洞,如果被利用,将允许威胁参与者绕过受感染设备上的身份验证。 鉴于其特点,该缺陷在通用漏洞评分系统(CVSS)规模上得分为10/10。
根据数字取证专家的说法,由于在运行REST API身份验证服务的代码区域中进行了不适当的验证,因此存在缺陷。 受此漏洞影响最大的产品是Cisco路由器,主要是ASR 1000系列聚合服务路由器,思科云服务路由器1000V和思科集成服务虚拟路由器。
在他们的调查中,专家声称,未经身份验证的远程攻击者可以通过向受感染的系统发送特制的HTTP请求来利用此漏洞。 这将导致来自经过身份验证的用户的令牌标识符的暴露。
“虽然这是一个严重的安全错误,但我们必须考虑它的利用依赖于多个攻击前因素和条件,因此开发复杂性大大增加,”负责这项研究的专家之一Scott Ceveza说。 “例如,用户必须登录设备,以便攻击者可以获得令牌标识符,”专家补充道。
另一方面,来自应用安全自动化公司ShiftLeft Inc.的数字取证专家认为,这个缺陷是一个重要且及时的安全提示:“应用程序安全性必须扩展到在组织网络上运行的每个代码段。 ,“ 他说。 “API依赖性完成了一项非常重要的任务,允许每个组织专注于增加最大价值的代码,利用其他公司的创新来充分利用其API; 但是,通过将外部API集成到应用程序中,其安全漏洞也在增加,“专家总结道。
据国际网络安全研究所(IICS)的数字取证专家称,思科系统公司发布了iosxe-remote-mgmt.16.03.03.ova,这是受感染虚拟服务容器的更新版本。 此外,在最新版本的IOS XE系统中添加了一些额外的保护措施,仅适用于思科许可用户。
