思科 Systems 警告称,超过六款精睿系列交换机受一个高危漏洞影响,可导致远程未认证攻击者以管理员权限访问交换机的管理接口。
受影响的具体产品是 Series Smart Switches、Series Managed Switches 和 Series Stackable ManagedSwitches。思科表示未发现漏洞遭利用的迹象,并已为其中某些受影响的交换机发布软件更新,而其它一些产品因已达生命周期,因此将无法收到补丁。
该缺陷的编号是 CVE-2020-3297,CVSS 评分是8.1分,是由使用弱熵生成的会话标识符值造成的。
思科在安全公告中指出,“攻击者可利用该漏洞,通过暴力攻击确定当前的会话标识符并复用该会话标识符接管正在进行的会话。”如此,攻击者就能攻破设备的认证保护措施并获得遭劫持会话账户的权限。如该受害者是管理员用户,则攻击者能获取设备的管理员权限。
具体受影响的产品是 Cisco 250 Series SmartSwitches、350 Series Managed Switches、350X Series StackableManaged Switches、550X Series Stackable Managed Switches、Small Business 200 SeriesSmart Switches、Small Business 300 Series Managed Switches 和Small Business 500 SeriesStackable Managed Switches。
思科已发布固件版本2.5.5.47中修复该漏洞。上述前四款产品将收到软件更新,而由于后四款产品已过软件维护周期,“虽然易受攻击”,但不会收到固件修复方案。
周三,思科还发布补丁,修复多个中危缺陷,影响的产品包括精睿 RV042 和 RV-042G 路由器、Digital NetworkArchitecture Center、身份服务引擎、Unified Customer Voice Portal、Unified Communications 产品和AnyConnect SecurityMobility Client。
6月早些时候,思科还修复了 Webex 网络会议应用中的三个高危漏洞,其中一个可导致未认证攻击者在受影响系统上远程执行代码。
原文链接
https://threatpost.com/cisco-warns-high-severity-bug-small-business-switch/157090/
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
