思科视频会议产品TelePresence TC及TE的某些版本易受攻击,可允许攻击者以升级权限访问系统或致使设备崩溃。
受影响产品包括MX Series、System EX Series、Integrator C Series、Profiles Series、Quick Set Series、System T Series以及VX Clinical Assistant。
攻击场景
思科于本周三发布安全公告称如这一漏洞CVE-2014-2174被成功攻击,可能会导致绕过验证获取系统的root访问权限。该漏洞CVSS评分为8.3。
攻击成功实施的前提是入侵者从广播或冲突域发动漏洞利用,也就是说首先必须攻陷网络;或者必须物理接近该系统。
漏洞产生的原因是没有在内部服务恰当执行验证及授权控制。
IP数据包洪流触发拒绝服务条件
安全公告中详细说明的第二个问题(CVSS评分7.8)可通过引发拒绝服务条件导致设备无法运行。要实现这一目标可通过以很快的速度发送精心编制的IP数据包实施。
该问题的CVE编号为CVE-2015-0722,存在于网络驱动器而原因是对洪水控制的实现不足;成功利用该漏洞的后果是远程重启几个正在运行的进程。
并非所有产品都收到补丁
思科为TelePresentce TC release 7.1发布了一个免费软件更新,缓解了授权绕过问题,而7.3.2消除了DoS风险。思科TelePresence TE软件并没有因其中任何补丁被修复。
开发人员表示依赖System T Series的客户必须使用新硬件以完成对TelePresence的修复。