思科本周针对智能网络交换机系列Cisco Small Business 220 Series发出安全公告,并修补3项可让黑客执行指令攻击、执行恶意程序代码及接管系统的漏洞。
这3项漏洞分别为CVE-2019-1912、CVE-2019-1913及CVE-2019-1914,皆出在产品固件的Web管理接口。其中CVE-2019-1912是接口对外部调用流量检查不完全造成的验证绕过(authentication bypass)漏洞。黑客可经由HTTP或HTTPS发送恶意调用开采本漏洞,使未获授权的远程攻击者得以上传任意文件、修改产品设置,或注入反向Shell指令。CVE-2019-1914为指令注入攻击漏洞,出在Web管理接口对用户输入指令验证不足。攻击者可经由HTTP或HTTPS发送恶意调用,成功开采者可以根(root)用户权限执行任意shell指令。
CVE-2019-1913则是一项远程程序代码执行漏洞。它起于Web管理接口对用户输入指令验证不足,以及程序未做好边界检查(boundary checks),使未授权的远程用户得以进行缓冲区溢出攻击,并取得操作系统根权限来执行任意程序代码。这表示黑客可从互联网接管系统。
根据CVSS Base Score,CVE-2019-1914因攻击者必须具备level 15的登录权限,属于中度风险漏洞。但CVE-2019-1912及CVE-2019-1913各以9.1及9.8的风险评分,被列为重大风险漏洞。
受3项漏洞影响的产品为1.1.4.4版本以前的Cisco 220 Series Smart Switches固件。思科也发布更新版本,呼吁用户尽快升级。