思科已经解决了SD-WAN中的三个漏洞,这些漏洞可能被用来攻击路由器、控制器软件和网络管理系统。
周三,思科表示,如果vBond Orchestrator、vEdge 100/1000/2000/5000系列路由器、vEdge云路由器平台、思科vManage网络管理系统和vSmart控制器软件在19.2.2版本之前运行SD-WAN软件,则每个被视为“高风险”的漏洞都会影响vBond编曲器、vEdge 100/1000/2000/5000系列路由器、vEdge云路由器平台、思科vManage网络管理系统和vSmart控制器软件。
第一个漏洞被跟踪为CVE-2020-3266,并被授予7.8的CVSS严重性评分,这是在SD-WAN的命令行界面中由于输入验证不足而导致的命令注入问题。据这家科技巨头称,如果被利用,攻击者能够“注入以根权限执行的任意命令”。
参见:思科关键缺陷:静态密码在智能软件管理器-补丁现在,思科说
思科解决的第二个安全问题是CVE-2020-3264。CVSS评分7.1分,此漏洞也是由于在SD-WAN中输入验证不足造成的。如果通过向软件发送精心设计的流量来利用该漏洞,则可能触发缓冲区溢出并泄漏敏感信息。
犯罪团伙真的能减少犯罪吗?
CVE-2020-3265的CVSS评分为7分,这是思科最新安全更新中被压扁的最后一个漏洞。
思科表示:“该漏洞是由于输入验证不足造成的。”攻击者可以通过向受影响的系统发送一个精心设计的请求来利用这个漏洞。成功的攻击可以让攻击者获得root级别的特权。”
这些安全缺陷都被认为是重要的,但值得注意的是,攻击者必须已经具有某种形式的身份验证,并且每个漏洞只能在本地被利用。
对于任何漏洞都没有变通的办法,思科建议用户接受传入的自动软件更新,以降低被利用的风险。
TechRepublic:来自利比亚的黑客利用传播移动监控恶意软件
思科感谢Orange集团报告了这些漏洞。
上个月,思科不得不解决Kr00k问题,这是使用Broadcom或Cypress Wi-Fi芯片组的Wi-Fi设备存在的一个严重安全缺陷,该芯片组允许在WPA2个人/企业Wi-Fi通道上进行包解密。追踪到CVE-2019-15126,该漏洞的利用可能导致数据盗窃和敏感信息泄露。