首頁 > 安全研究 > 安全通報 > 安全通告

思科修復嚴重的IOx漏洞安全通告

發布時間 2019-09-27

漏洞編號和級別


CVE編號:CVE-2019-12648,危險級別:嚴重,CVSS分值:廠商自評:9.9,官方未評定


影響版本


思科1000系列Connected Grid Routers (CGR 1000)和思科800系列Industrial Integrated Services Routers,安裝了客戶機操作系統的IOS Software易受攻擊版本


漏洞概述


思科發布安全更新,解決了思科IOS Software IOx應用程序環境中的一個嚴重漏洞。該漏洞可導致經驗證的遠程攻擊者以根用戶身份訪問客戶機操作系統 (Guest OS)。


當低權限用戶請求訪問本應被限制為管理員賬戶才能訪問的客戶機操作系統時,會引發錯誤的基于角色的訪問控制(RBAC)評估。攻擊者能夠使用低權限用戶憑證驗證客戶機操作系統,從而利用該漏洞。


客戶機操作系統是包含Hypervisor、IOS和Guest OS映像的捆綁IOS映像的一部分。通過思科IOS Software映像包執行初始安裝或軟件升級的客戶將在軟件映像包安裝過程中自動安裝客戶機操作系統。


管理員可在設備CLI中使用命令show iox host list detail查看設備上是否啟用了客戶機操作系統。思科在安全公告中提供了如下示例,說明了啟用了客戶機操作系統的命令輸出結果:




此外,思科發布了半年度Cisco IOS和IOS XE軟件安全公告(補丁日):https://tools.cisco.com/security/center/viewErp.x?alertId=ERP-72547,其中包含說明了13個安全缺陷的12個思科安全公告,所有的這13個漏洞均未高危漏洞,CVSS評分為7.5到9.9。本文提到的漏洞也是其中的組成部分。思科已發布解決所有這些漏洞的安全更新,以阻止攻擊者利用未修復設備“獲取越權訪問權限、進行命令注入攻擊或引發拒絕服務條件”。




漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth 。


參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190925-ios-gos-auth


上一篇 下一篇