思科满分漏洞可使黑客以root身份运行任意命令

发布于 作者:

思科满分漏洞可使黑客以root身份运行任意命令

Sergiu Gatlan 代码卫士 2024-11-07 18:33

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418),它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。

该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞,而无需用户交互。思科在本周三发布的安全公告中提到,“该漏洞是因为对 web 管理接口的输入验证不当造成的。攻击者可将构造的 HTTP 请求发送给受影响系统的 web 管理接口,利用该漏洞。成功利用将导致攻击者以 root 权限在受影响设备的底层操作系统上运行任意命令。”

思科解释称,该漏洞影响 Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients 和 Catalyst IW9167E Heavy Duty Access Points,不过前提是它们在运行易受攻击的软件并启用了 URWB 操作模式。

思科产品安全事件响应团队 (PSIRT) 尚未发现公开的利用代码或该漏洞已遭利用的整局。

管理员可通过查看 “show mpls-config” CLI 命令是否可用的方式,判断 URWB 运营模式是否启用。如该命令不可用,URWB 未启用,则该设备不会受该漏洞影响。

思科还在7月份修复了位于思科 ASA 和 Firepower Threat Defense (FTD) 软件中的一个DoS 漏洞。该漏洞在4月份发现,当时被用于针对思科 VPN 设备的大规模暴力攻击活动中。

一个月之前,思科发布安全更新,修复了利用代码已公开的另外一个命令注入漏洞,可导致攻击者将在易受攻击系统上的权限提升为root。7月份,鉴于思科、Palo Alto 和 Ivanti 网络边缘设备遭多个漏洞(CVE-2024-20399、CVE-2024-3400和CVE-2024-21887)利用攻击,CISA和FBI 督促软件企业在交付前消除路径OS命令注入漏洞。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

思科紧急修复已遭利用的 ASA 和 FTD 软件漏洞

黑客在思科商店注入恶意JS,窃取信用卡和凭据

思科修复已有 PoC 的根提权漏洞

思科修复由NSA报送的两个高危漏洞

思科:注意这些已达生命周期IP电话中的RCE 0day

原文链接

https://www.bleepingcomputer.com/news/security/cisco-bug-lets-hackers-run-commands-as-root-on-uwrb-access-points/

题图:
Pixabay
 License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~