- A+
根据数字取证专家的说法,思科已经开始了一个充满安全补丁的新工作日,以修复其Aironet无线接入点中存在的多个关键漏洞,这些漏洞已被中小企业广泛使用。
该公司还发布了其他安全补丁,以修复其其他产品中的各种缺陷。 这些漏洞中最严重的漏洞可能允许未经身份验证的远程黑客访问特定设备,并授予高特权,例如访问敏感数据和修改目标设备设置的能力。 在Aironet接入点上运行的Cisco软件中存在此漏洞,该漏洞使设备可以连接到有线网络。
该公司在安全警报中提到:“尽管攻击不会提供对所有可用配置选项的访问权限,但攻击者除了修改某些设置(例如无线网络)外,还可以访问敏感的系统信息。”
漏洞跟踪为CVE-2019-15260,在通用漏洞评分系统(CVSS)等级上评级为9.8 / 10,使其成为严重漏洞。 根据数字取证专家的说法,存在此缺陷是由于对受影响设备的某些URL的访问控制较弱。
威胁参与者可以通过从受影响的访问点请求特定的URL来利用故障。 受影响的Aironet设备包括1540、1560、1800、2800、3800和4800系列。
除了此故障外,Aironet中还发现了两个其他漏洞。 这些漏洞之一是由于访问点上的处理功能错误而导致的,该错误仅处理点对点隧道协议VPN数据包,这是在任何设备上部署VPN的过时方法。 此漏洞被标识为CVE-2019-15261,它允许未经身份验证的远程黑客触发受影响设备的重新加载,从而生成拒绝服务 (DoS)条件。
确定为CVE-2019-15264的第二个漏洞存在于Aironet和Catalyst 9100的“无线接入点控制和配置”协议的实现中。 该协议允许任何中央无线LAN访问控制器管理无线访问点的集合。 利用此漏洞将允许未经身份验证的黑客无意中重启设备,从而产生DoS条件。
数字取证专家提到,思科发布了更新补丁程序来修复总共41个漏洞,包括上述严重漏洞,17个严重漏洞和23个严重程度不佳的故障。
SPA100系列模拟电话适配器是导致安全漏洞最多的产品之一,可用于数百家小型企业的Internet电话服务。 利用这些缺陷中的大多数将允许经过身份验证的黑客执行任意代码。
思科不时发布一些产品的更新补丁。 正如国际网络安全研究所(IICS)的数字取证专家9月份报道的那样,该公司发布了29个补丁程序,以修复路由器,工业交换机以及其他运行IOS XE软件的设备上的多种产品的安全漏洞。