思科物联网无线AP遭遇严重命令注入漏洞
2024-12-20 08:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

思科公司的URWB硬件出现了一个难以忽视的漏洞,攻击者可利用伪造的 HTTP 请求劫持接入点的 Web 界面。

Cisco 称该问题CVE-2024-20418影响三种产品:Catalyst IW9165D 接入点、Catalyst IW9165E 接入点和无线客户端以及 Catalyst IW9167E 接入点。

不过,思科表示,接入点只有在 URWB 模式下运行易受攻击的软件时才会受到攻击。管理员可以使用 show mpls-config 命令确认 URWB 模式是否正在运行。如果禁用,则设备不受影响。不使用 URWB 的 Cisco 其他无线接入点产品不受影响。

至于缺陷本身:

"该漏洞是由于对基于 Web 的管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的基于网络的管理界面发送伪造的 HTTP 请求来利用这个漏洞。

"成功的漏洞利用可使攻击者在受影响设备的底层操作系统上以root权限执行任意命令"。

换句话说,这将是一次彻底的入侵。这类漏洞在常见弱点枚举(CWE)数据库中被列为第 77 个,又称 "命令注入"。

这一点意义重大,因为就在今年 7 月,CISA 曾警告此类漏洞的危险性。

"CISA 写道:"当制造商在构建要在底层操作系统上执行的命令时,未能对用户输入进行适当验证和审查,就会产生操作系统命令注入漏洞。

该组织请求制造商采用安全设计原则来避免这一问题。

谁在使用 URWB 接入点?

URWB 产品线是一个物联网接入点系列,适用于工业或户外环境。2020 年,思科收购了意大利公司 Fluidmesh Networks ,从而获得了 URWB 的基础技术。

URWB 模式允许接入点在通常难以保证的环境中支持高速、可靠、低延迟的无线连接。

在 2021 年一篇关于该技术的博客中,Fluidmesh Network 的联合创始人兼前首席执行官 Umberto Malesci 列举了几个使用该技术的例子,其中包括在法国的动车组上实现 1000 台设备的 IP 摄像头网络,在马耳他实现港口起重机的无线控制,以及作为支持米兰无人驾驶地铁列车的基础设施的一部分。

"想象一下远程监控火车、地铁、公共交通、矿井或港口上的移动资产的情景。如果在查看电子邮件时掉了几个数据包,没有人会注意到。相比之下,远程控制起重机或自动驾驶汽车时丢包会造成严重后果,"Malesci 写道。

这些使用案例的关键性凸显了优先修补该漏洞的重要性。不过,由于这类接入点通常被隔离在专用的物联网网段上,因此尚不清楚攻击者直接瞄准该漏洞有多容易。如果是这样的话,攻击者可能需要无线接近才能利用这个漏洞。

修补建议

由于该漏洞的 CVSS 得分最高为 10.0,而且没有可用的解决方法,因此修复该漏洞需要管理员通过思科的更新渠道应用软件补丁。思科表示,使用 17.14 及更早版本软件的企业应更新至修复版本,而使用 17.15 版本的企业应更新至 17.15.1 版本。

建议若组织购买的URWB 接入点渠道商没有技术支持能力,请联系 Cisco 技术中心

截至目前,思科的产品安全事故响应小组(PSIRT)表示,它没有发现任何针对该漏洞的漏洞利用。

* 本文为闫志坤编译,原文地址:https://www.networkworld.com/article/3600993/cisco-iot-wireless-access-points-hit-by-severe-command-injection-flaw.html                        
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!

🎁 多种报告,产业趋势、技术趋势

这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!

👉 扫码立即加入,精彩不容错过!

😄嘻嘻,我们群里见!

更多推荐


文章来源: https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247531975&idx=1&sn=56c499e1153e0c4f6356185ac1ded5a1&chksm=c1440f7af633866c05c42df55d11bf04d3c958aa61ec6c19861393ad6e599687d4011abedd73&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh