《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 思科爆出嚴(yán)重漏洞,!黑客可遠程執(zhí)行任意代碼

思科爆出嚴(yán)重漏洞,!黑客可遠程執(zhí)行任意代碼

2021-08-06
來源:安全圈
關(guān)鍵詞: 思科 漏洞

  近日,,網(wǎng)絡(luò)設(shè)備巨頭思科已經(jīng)推出補丁來解決影響其小型企業(yè) VPN 路由器的關(guān)鍵漏洞,,遠程攻擊者可能會濫用這些漏洞來執(zhí)行任意代碼,,甚至導(dǎo)致拒絕服務(wù) (DoS) 條件,。

  跟蹤為 CVE-2021-1609(CVSS 評分:9.8)和 CVE-2021-1610(CVSS 評分:7.2)的問題存在于小型企業(yè) RV340,、RV340W,、RV345 和 RV345P Dual運行版本 1.0.03.22 之前的固件版本的 WAN 千兆 VPN 路由器,。這兩個問題都源于缺乏對 HTTP 請求的正確驗證,,從而允許不法分子向易受攻擊的設(shè)備發(fā)送特制的 HTTP 請求。

  成功利用 CVE-2021-1609 可能允許未經(jīng)身份驗證的遠程攻擊者在設(shè)備上執(zhí)行任意代碼或?qū)е略O(shè)備重新加載,,從而導(dǎo)致 DoS 條件,。CVE-2021年至1610年,關(guān)注一個命令注入漏洞,,如果利用,,可允許經(jīng)認(rèn)證的對手到受影響的設(shè)備上遠程執(zhí)行與根特權(quán)任意命令,該公司指出在其咨詢,。

  思科還解決了一個影響小型企業(yè) RV160,、RV160W、RV260,、RV260P 和 RV260W VPN 路由器的高嚴(yán)重性遠程代碼執(zhí)行錯誤(CVE-2021-1602,,CVSS 評分:8.2),未經(jīng)身份驗證的遠程攻擊者可以利用該漏洞在受影響設(shè)備的底層操作系統(tǒng)上執(zhí)行任意命令,。運行早于 1.0.01.04 的固件版本的小型企業(yè) RV 系列路由器容易受到影響,。

  “此漏洞是由于用戶輸入驗證不足造成的。攻擊者可以通過向基于 Web 的管理界面發(fā)送精心設(shè)計的請求來利用此漏洞,,”思科表示,。“成功的利用可能允許攻擊者使用 root 級權(quán)限在受影響的設(shè)備上執(zhí)行任意命令,。由于漏洞的性質(zhì),,只能執(zhí)行沒有參數(shù)的命令?!?/p>

  該公司指出,,沒有證據(jù)表明存在針對任何這些缺陷的積極利用嘗試,也沒有任何解決漏洞的變通方法,。

  CVE-2021-1602 標(biāo)志著思科第二次修復(fù)了與同一組 VPN 設(shè)備相關(guān)的關(guān)鍵遠程代碼執(zhí)行缺陷,。今年 2 月初,該公司修補了 35 個漏洞,這些漏洞可能允許未經(jīng)身份驗證的遠程攻擊者以 root 用戶身份在受影響的設(shè)備上執(zhí)行任意代碼,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。