【天盈資訊】思科修補SD-WAN裝置、管理軟體等重大漏洞

思科針對SD-WAN設備含有的重大漏洞CVE-2021-1299及CVE-2021-1330發布修補,兩者CVSS 3.1風險層級達9.9及9.8,可讓攻擊者以根權限執行任意程式碼

思科本週接連發布數項安全公告,以修補其SD-WAN設備、管理軟體Smart Software Manager Satellite及DNA Center等產品安全漏洞,包含高達9.8及9.9的重大風險漏洞。

思科針對SD-WAN設備發布CVE-2021-1299及CVE-2021-1300。其中CVE-2021-1299為一指令注入漏洞,源於SD-WAN vManage Software對用戶輸入的template組態資訊驗證不當,可讓攻擊者傳送惡意組態開採,而取得根權限的存取權,得以以管理員權限執行任意程式碼。 CVE-2021-1300則屬於SD-WAN Software的緩衝溢位漏洞,攻擊者可傳送惡意IP流量開採造成系統緩衝溢位,也能藉此在底層作業系統上,以根權限執行任意程式碼。兩者CVSS 3.1風險層級分別達到9.9及9.8,屬於重大漏洞。

這兩項軟體元件也分別出現中度風險漏洞,包括Cisco SD-WAN CLI 的CVE-2021-1261指令注入漏洞,及SD-WAN Software CVE-2021-1301緩衝溢位漏洞。

值得注意的是,思科的SD-WAN產品線包括vBond Orchestrator Software、vEdge Cloud Routers、vEdge Routers、vManage Software、vSmart Controller Software受到上述2個重大漏洞影響。

另外,思科也修補智慧軟體管理員產品Smart Software Manager Satellite 5.1.0 版本以前,位於UI三項指令注入漏洞,包括CVE-2021-1138、CVE-2021-1139、CVE-2021-1140。攻擊者可傳送惡意HTTP呼叫開採,以便在OS上以高度權限身份執行任意程式碼。三項漏洞風險皆達到9.8重大等級。這個UI同時還存在2個高度風險(8.8分)的指令注入漏洞CVE-2021-1139及 CVE-2021-1141。

最後,思科修補了企業意向型網路軟體的DNA Center1.3.1.0版本以前的指令注入漏洞CVE-2021-1264,可讓攻擊者傳送惡意指令或經由API call執行指令開採,而在由DNA Center管理的系統上執行任意CLI指令,風險評分也達到9.6。

上述漏洞多半沒有權宜性的避險作法(workaround)。思科表示尚未發現漏洞有被濫用的證據,不過由於風險重大,呼籲用戶儘速安裝修補程式。

文章來源:iThome

向上滑動