思科公司的URWB硬件出现了一个难以忽视的漏洞,攻击者可利用伪造的 HTTP 请求劫持接入点的 Web 界面。
Cisco 称该问题CVE-2024-20418影响三种产品:Catalyst IW9165D 接入点、Catalyst IW9165E 接入点和无线客户端以及 Catalyst IW9167E 接入点。
不过,思科表示,接入点只有在 URWB 模式下运行易受攻击的软件时才会受到攻击。管理员可以使用 show mpls-config 命令确认 URWB 模式是否正在运行。如果禁用,则设备不受影响。不使用 URWB 的 Cisco 其他无线接入点产品不受影响。
至于缺陷本身:
"该漏洞是由于对基于 Web 的管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的基于网络的管理界面发送伪造的 HTTP 请求来利用这个漏洞。
"成功的漏洞利用可使攻击者在受影响设备的底层操作系统上以root权限执行任意命令"。
换句话说,这将是一次彻底的入侵。这类漏洞在常见弱点枚举(CWE)数据库中被列为第 77 个,又称 "命令注入"。
这一点意义重大,因为就在今年 7 月,CISA 曾警告此类漏洞的危险性。
"CISA 写道:"当制造商在构建要在底层操作系统上执行的命令时,未能对用户输入进行适当验证和审查,就会产生操作系统命令注入漏洞。
该组织请求制造商采用安全设计原则来避免这一问题。
谁在使用 URWB 接入点?
URWB 产品线是一个物联网接入点系列,适用于工业或户外环境。2020 年,思科收购了意大利公司 Fluidmesh Networks ,从而获得了 URWB 的基础技术。
URWB 模式允许接入点在通常难以保证的环境中支持高速、可靠、低延迟的无线连接。
在 2021 年一篇关于该技术的博客中,Fluidmesh Network 的联合创始人兼前首席执行官 Umberto Malesci 列举了几个使用该技术的例子,其中包括在法国的动车组上实现 1000 台设备的 IP 摄像头网络,在马耳他实现港口起重机的无线控制,以及作为支持米兰无人驾驶地铁列车的基础设施的一部分。
"想象一下远程监控火车、地铁、公共交通、矿井或港口上的移动资产的情景。如果在查看电子邮件时掉了几个数据包,没有人会注意到。相比之下,远程控制起重机或自动驾驶汽车时丢包会造成严重后果,"Malesci 写道。
这些使用案例的关键性凸显了优先修补该漏洞的重要性。不过,由于这类接入点通常被隔离在专用的物联网网段上,因此尚不清楚攻击者直接瞄准该漏洞有多容易。如果是这样的话,攻击者可能需要无线接近才能利用这个漏洞。
修补建议
由于该漏洞的 CVSS 得分最高为 10.0,而且没有可用的解决方法,因此修复该漏洞需要管理员通过思科的更新渠道应用软件补丁。思科表示,使用 17.14 及更早版本软件的企业应更新至修复版本,而使用 17.15 版本的企业应更新至 17.15.1 版本。
建议若组织购买的URWB 接入点渠道商没有技术支持能力,请联系 Cisco 技术中心。
截至目前,思科的产品安全事故响应小组(PSIRT)表示,它没有发现任何针对该漏洞的漏洞利用。
— 【 THE END 】—
🎉 大家期盼很久的#数字安全交流群来了!快来加入我们的粉丝群吧!
🎁 多种报告,产业趋势、技术趋势
这里汇聚了行业内的精英,共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利,只为回馈最忠实的您!
👉 扫码立即加入,精彩不容错过!
😄嘻嘻,我们群里见!
更多推荐