思科周四公告修補二項網路設備漏洞,可讓攻擊者登入內部服務及取得根用戶權限,呼籲企業儘速升級軟體。

公告的二項漏洞都是存在思科軟體定義網路產品線中。首先,CVE-2019-1848發生在管理及指揮思科網路的產品數位網路架構中心(Cisco Digital Network, Architecture Center, DNA Center),漏洞起於DNA Center對於存取傳輸埠的限制不夠嚴格,攻擊者可將未經授權的網路裝置繞過驗證,而連上用於執行叢集服務的子網。成功利用這項漏洞者,可直接存取內部服務。本漏洞影響Cisco DNA Center Software 1.3版本以前的軟體,在CVSS v3.0風險評分達9.3(滿分10分)。

第二項漏洞編號CVE-2019-1625,存在思科SD-WAN 產品的指令行介面中,問題出在授權管理不足。攻擊者可驗證登入目標裝置執行指令,進而取得權限升級。成功開採本漏洞可讓攻擊者以根用戶的身分變更系統組態。這項漏洞的CVSS v3.0風險評分為7.8。本漏洞影響Cisco SD-WAN Solution 18.3.6以前版本及18.4.1、19.1.0版,雖然風險較低,但波及產品較多,包括vEdge 100、1000、2000、5000系列路由器、以及vBond Orchestrator Software、vManage Network Management Software、vSmart Controller Software等軟體。

兩項漏洞皆無暫時緩解方法,思科已在最新版本DNA Center Software 1.3版和SD-WAN Solution 18.4.1版予以修補,也呼籲企業用戶儘速更新。

熱門新聞

Advertisement