思科已经披露了十二个高严重性漏洞,这些漏洞影响了广泛部署的Cisco IOS和IOS XE网络自动化软件,其中包括一个影响其工业路由器和网格路由器的讨厌软件。
该公司还警告客户禁用具有公开利用代码的IOS中的L2跟踪路由功能。
思科敦促管理员检查其设备正在运行哪个版本的Cisco IOS和IOS XE,以确保将这些版本更新为可解决13个单独缺陷的版本。
这些缺陷已作为3月和9月第四个星期三发布的Cisco两年一次的Cisco IOS和IOS XE软件安全咨询包的一部分进行了披露。
此更新包括12个通报,其中详细列出了13个高严重性漏洞,这些漏洞可能使攻击者未经授权即可访问受影响的设备,使他们可以进行命令注入攻击,或者耗尽设备的资源并导致拒绝服务。
尽管没有一个漏洞被评为严重,但是在IOx IOx应用程序环境中,一个被跟踪为CVE-2019-12648的错误针对IOS的CVSS 3.0得分是9.9(满分10)。
该错误会影响使用Cisco 800系列工业集成多业务路由器及其1000系列互联电网路由器的大型网络运营商 。
思科解释说,尽管此CVSS分数通常对应于严重等级,但此错误仍包含在受影响的IOS设备的虚拟机上运行的客户操作系统中。该错误无法使攻击者获得对IOS本身的管理访问权限。
思科指出:“在任何情况下,利用都不能使攻击者获得对在受影响的设备上运行的IOS软件的管理访问权限。”
该错误是由于用于控制对IOS中的来宾OS的访问的基于角色的访问控制(RBAC)评估不正确造成的。
攻击者需要通过身份验证才能利用此错误。但是,由于RBAC问题,该错误使低特权用户可以请求访问来宾操作系统(例如,在受影响设备内的VM上运行的Linux实例),该访问权限应仅限于管理帐户。这些在IOS中定义为“第15级”帐户。攻击者可以利用该错误以root用户身份访问操作系统。
没有任何解决方法,因此客户将需要确保他们正在运行固定版本的IOS。但是,如果不能立即进行升级,思科建议禁用来宾操作系统可以“消除攻击媒介”,因此可以采取适当的缓解措施。思科在其通报中提供了有关卸载来宾操作系统的说明。
思科还发布了有关IOS和IOS XE的第2层网络traceroute实用程序中问题的信息通报。默认情况下,此功能在Cisco Catalyst交换机上启用。该公司指出,它知道可用于此问题的公共利用代码。
思科指出,根据设计,L2跟踪路由服务器不需要身份验证,攻击者可以收集有关受影响设备的大量信息,包括主机名,硬件模型,配置的接口和IP地址,VLAN数据库,MAC地址表,第2层过滤表和Cisco发现协议邻居信息。
思科警告说:“从网络中的多个交换机读取此信息可能会使攻击者建立该网络的完整L2拓扑图。”
思科在该通报中提供了有关如何保护L2跟踪路由服务器的信息。建议除其他外包括禁用服务器或升级到默认情况下禁用它的IOS或IOS XE版本。
但是,直到今年晚些时候才能升级到禁用的版本。这些版本包括2019年12月及以后的Cisco IOS 15.2(7)E1; Cisco IOS XE 3.11.1E 2019年12月及以后; 2020年3月及以后的Cisco IOS XE 17.2.1。
同时,还有一些选项可以限制通过控制面板策略或访问控制列表的访问。
