聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
思科修复了RV110W Wireless-N VPN 防火墙、RV130W Wireless-N 多功能 VPN 路由器和 RV215W Wireless-N VPN 路由器设备的 web 管理接口中的严重的远程代码执行漏洞。
思科在安全通告中将该漏洞 (CVE-2019-1663) 评级为“严重”,CVSS v3 评分为9.8,原因是它可允许潜在的未验证攻击者在上述三款易受攻击的路由器上远程执行任意代码。
从 CWE 数据库的说明来看,该漏洞产生的原因是“对内存缓冲区的边界内的操作的限制不当”,“软件在内存缓冲区上执行操作,但可从缓冲区的边界外的内存位置读取或写入”。
思科在安全通告中指出,“该漏洞是因为对 web 管理接口中的用户提供数据的验证不当造成的。攻击者可能通过向目标设备发送恶意 HTTP 请求的方式利用该漏洞。成功的利用可导致攻击者在受影响设备上以高权限用户的身份在底层操作系统上执行任意代码。”
仅自定义配置的设备易受攻击
不过好消息是,这三种易受攻击的设备上得web 管理接口上的远程连接都是默认禁用的,管理它们的唯一方式是通过 LAN 连接。
正如思科所述,“要确定设备是否启用了远程管理功能,管理员可打开 web 管理接口并选择基础设置>远程管理。如果启用方框已勾选,这说明该设备启用了远程管理功能。”
思科发布了修复 CVE-2019-1663 的软件更新,可从如下固件版本中找到:
RV110W Wireless-N VPN 防火墙:1.2.2.1
RV130W Wireless-N 多功能 VPN 路由器:1.0.3.45
RV215W Wireless-N VPN 路由器:1.3.1.1
建议使用如上任意一款易受影响设备的所有消费者将固件更新至最新版本,避免该漏洞遭任何形式的利用。
用户可从 Cisco.com 中的“软件中心”中获取已修复的软件版本,点击“浏览所有”选项并遵循通告页面上的详细程序即可更新固件。
修复 Webex Meetings 和 Productivity Tools 中的权限提升漏洞
在2018年10月24-25日于上海举办的 GeekPwn 大会上,安全研究员 Yu Zhang 和 Haoliang Lu 首次公开了CVE-2019-1663 漏洞,但并未提及详情。
思科还发布修复方案,修复了影响 Webex Meetings Desktop app 和 Webex Productivity Tools 产品的一个高危权限提升漏洞 CVE-2019-1674。
CVE-2019-1674 可导致低权限的本地攻击者提升权限并在运行受影响软件的设备上以系统用户权限执行任意命令。
安全研究人员还从思科 WebEx 在线视频协作软件中找到了其它漏洞,而由 Counter Hack 公司的 Jeff McJunkin 和 Ron Bowes 于2018年10月24日发现的漏洞无疑最令人注目。该漏洞被称为“WebExec”,可导致准攻击者通过易受攻击的 WebEx 客户端版本的一个组件远程执行任意命令,即使 WebEx 并未配置为监听远程连接也不例外。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-rce-vulnerability-in-rv110w-rv130w-and-rv215w-routers/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。