思科修复高危身份验证绕过漏洞
2022-4-15 16:48:33 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

The Hacker News 消息披露,思科无线局域网控制器软件中存在高危漏洞,攻击者能够利用该漏洞绕过身份验证控制并通过管理界面登录设备,以控制受影响的系统。目前,Cisco 已经发布了安全更新。1650012537_625931797ea2b8f30cc01.png!small?1650012537626

漏洞危害性高,影响范围广

该漏洞追踪为 CVE-2022-20695,CVSS 评分为 10(满分 10 分),由 Bispok 公司匿名研究人员发现。

据悉,CVE-2022-20695 漏洞是由于密码验证算法实施不当造成的,攻击者可以通过使用伪造的凭证,登录到受漏洞影响的设备中。更糟糕的是,登陆设备的攻击者可能获得和管理员相同权限,完全接管易受攻击的系统,进行更多恶意操作。

值得注意的是,思科方面表示,无线局域网控制器 8.9 和更早的版本,以及 8.10.142.0 和更早的版本中不存在漏洞。如果用户使用的是 Cisco WLC 软件 8.10.151.0 版或 8.10.162.0 版,并且将 macfilter radius 兼容性配置为 Other,则漏洞会影响以下几款产品:

3504 无线控制器

5520 无线控制器

8540 无线控制器

Mobility Express,和虚拟无线控制器(vWLC)

为了解决漏洞问题,思科方面建议用户尽快更新到 8.10.171.0 版本。另外,思科公司强调,没有证据表明该漏洞在野外被积极利用。

思科修复其他漏洞

值得一提的是,本周,思科还修补了其他 14 个高严重性漏洞和 9 个中等严重性漏洞,这些漏洞主要影响思科 IOS XE/XR 和 SD-WAN vManage 软件,以及 Catalyst Digital Building 系列交换机和 Catalyst Micro 交换机。

参考文章:

https://thehackernews.com/2022/04/critical-auth-bypass-bug-reported-in.html


文章来源: https://www.freebuf.com/news/329230.html
如有侵权请联系:admin#unsafe.sh