Cisco 發布多種產品的安全更新

風險等 級: 高度威脅
摘   要:

Cisco 多個產品存在安全性弱點,遠端攻擊者可以利用這些弱點來控制受影響的系統!

影響系 統:
  • Cisco IOS 16.1.1 之前版本
  • Cisco IOS XE 16.1.1 之前版本
  • Cisco Webex Video Mesh 2019.09.19.1956m 之前版本
解決辦 法:

Cisco 已經發布了軟體更新,可更新軟體來解決此弱點

細節描 述:

Cisco IOS 和 Cisco IOS XE 軟體 Web UI CSRF 弱點

  • 該弱點是由於受影響的設備上的Web UI的CSRF保護不足所致。攻擊者可以說服界面用戶跟隨惡意鏈接,從而利用此弱點。使攻擊者可以目標用戶的特權級別執行任意操作。如果用戶具有管理特 權,則攻擊者可能會更改配置,執行命令或重新加載受影響的設備。 

Cisco Webex Video Mesh Command Injection 弱點

  • 該弱點是由於受影響的軟體,基於Web的管理界面未正確驗證用戶的輸入而引起的。攻擊者可以通過使用管理特權登錄到基於Web的 管理界面並向應用程序提供請求。此弱點可使攻擊者可以在目標節點上以root用戶特權在底層Linux操作系統上執行任意命令。
參考資 訊:

US-CERT (2020/01/09)
cisco-sa-20200108-webex-video (2020/01/08)
cisco-sa-20200108-ios-csrf (2020/01/08)