思科于本周四针对二项网络设备漏洞进行了修复。据悉,这两个漏洞可让攻击者登录内部服务及取得用户根权限,呼吁企业尽速升级软件。
二项漏洞都是存在思科软件定义网络产品线中。首先,CVE-2019-1848发生在管理及指挥思科网络的数字网络架构中心(Cisco Digital Network, Architecture Center, DNA Center),漏洞起于DNA Center对于存取传输端口的限制不够严格,攻击者可将未经授权的网络装置绕过验证,而连上用于执行丛集服务的子网。成功利用这项漏洞者,可直接访问内部服务。本漏洞影响Cisco DNA Center Software 1.3版本以前的软件,在CVSS v3.0风险评分达9.3(满分10分)。
第二项漏洞编号CVE-2019-1625,存在思科SD-WAN 产品的命令行界面里,问题出在授权管理不足。攻击者可验证登入目标设备执行指令,进而取得权限升级。成功利用本漏洞可让攻击者以根用户的身分变更系统组态。这项漏洞的CVSS v3.0风险评分为7.8。本漏洞影响Cisco SD-WAN Solution 18.3.6以前版本及18.4.1、19.1.0版,虽然风险较低,但波及产品较多,包括vEdge 100、1000、2000、5000系列路由器、以及vBond Orchestrator Software、vManage Network Management Software、vSmart Controller Software等软件。
由于两项漏洞暂时都没有缓解方法,思科已在最新版本DNA Center Software 1.3版和SD-WAN Solution 18.4.1版予以修复,建议相关企业用户尽快更新。
- 调查区域:企业小调查(点击预览可查看效果)
本文属于原创文章,如若转载,请注明来源:思科修复DNA Center与SD-WAN系统重大漏洞//safe.zol.com.cn/719/7199627.html
