該漏洞編號為CVE-2024-20418,思科表示此問題影響三款產品:Catalyst IW9165D重型接入點、Catalyst IW9165E堅固型接入點和無線客戶端,以及Catalyst IW9167E重型接入點。
然而,思科表示,只有當接入點在URWB模式下運行易受攻擊的軟件時,它們才會受到影響。管理員可以通過使用show mpls-config命令來確認URWB模式是否在運行。如果該模式已禁用,則設備未受影響。思科其他不使用URWB的無線接入點產品不受影響。
關于漏洞本身:
“此漏洞是由于基于Web的管理界面輸入驗證不當造成的。攻擊者可以通過向受影響系統的基于Web的管理界面發送構造的HTTP請求來利用此漏洞,”思科在其公告中稱。
“成功利用此漏洞后,攻擊者可以在受影響設備的底層操作系統上以root權限執行任意命令。”
換言之,這將導致完全的系統淪陷。此類漏洞在通用弱點枚舉(Common Weakness Enumeration,CWE)數據庫中編號為77,又稱“命令注入”。
這一點很重要,因為就在最近7月,美國網絡安全和基礎設施安全局(CISA)曾警告過此類漏洞的危險。
“當制造商在構建要在底層操作系統上執行的命令時,未能正確驗證和清理用戶輸入時,就會出現OS命令注入漏洞,”CISA寫道。
該機構敦促制造商采用安全設計原則來避免這一問題,這是一種禮貌的說法,意指這類錯誤本不應再發生。
誰在使用URWB接入點?
URWB產品線是一系列適用于工業或戶外環境的堅固型接入點。URWB的底層技術在2020年思科收購意大利公司Fluidmesh Networks時歸入思科麾下。
URWB模式使接入點能夠在通常難以保證的環境中支持高速、可靠、低延遲的無線連接。
在2021年一篇關于該技術的博客中,Fluidmesh Networks的聯合創始人兼前首席執行官Umberto Malesci列舉了該技術的一些應用場景,包括在法國運行的1000臺IP攝像頭組成的列車網絡、在馬耳他實現港口起重機的無線控制,以及作為支持米蘭無人駕駛地鐵列車的基礎設施的一部分。
“想象一下,在火車、地鐵、公共交通、礦山或港口上遠程監控和控制移動資產。如果你在查看電子郵件時丟失了幾個數據包,沒有人會注意到。相比之下,如果你在遠程控制起重機或自動駕駛車輛時數據包丟失,可能會產生嚴重后果,”Malesci寫道。
這些應用場景的關鍵性凸顯了修補此漏洞的高優先級,然而,考慮到此類接入點通常隔離在專用的物聯網網絡段上,目前尚不清楚攻擊者直接針對該漏洞的難度有多大。如果是這種情況,攻擊者可能需要無線接近才能利用該漏洞。
修補建議
由于該漏洞的CVSS評分為最高的10.0,且沒有可用的解決方法,因此管理員需要通過思科的更新渠道應用軟件補丁來修復該漏洞。思科表示,使用軟件版本17.14及更早版本的組織應更新到已修復的發行版,而使用17.15版本的組織應更新到17.15.1版本。
任何通過不受支持的渠道購買URWB接入點的組織,建議聯系思科技術援助中心。
不過,有一個好消息是,思科的產品安全事件響應團隊(PSIRT)表示,他們并未發現任何針對該漏洞的利用行為。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號