思科的超可靠无线回程(URWB)硬件出现了一个难以忽视的漏洞,攻击者可以利用伪造的 HTTP 请求劫持接入点的 Web 界面。
思科称,该问题被认定为 CVE-2024-20418,影响到三种产品:Catalyst IW9165D 重型接入点、Catalyst IW9165E 强固型接入点和无线客户端,以及 Catalyst IW9167E 重型接入点。
不过,思科表示,这些接入点只有在URWB模式下运行易受攻击的软件时才会受到攻击。管理员可以使用 show mpls-config 命令确认 URWB 模式是否在运行中。如果该命令被禁用,设备就不会受到影响。思科其他不使用 URWB 的无线接入点产品也不受影响。
“该漏洞是由于对基于 Web 的管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的基于 Web 的管理界面发送伪造的 HTTP 请求来利用这个漏洞。
“成功利用后,攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。
换句话说,这将是一次彻底的入侵。这种类型的漏洞在常见弱点枚举(CWE)数据库中被列为第 77 个,也被称为 “命令注入”。
这一点意义重大,因为就在今年 7 月,CISA 还警告过此类漏洞的危险性。
“CISA 写道:"当制造商在构建要在底层操作系统上执行的命令时,未能对用户输入进行适当验证和消毒,就会产生操作系统命令注入漏洞。
该组织恳求制造商通过采用安全设计原则来避免这一问题。
上一条: E2EE加密云存储服务存在安全漏洞
下一条: 蜜蜂阻挠Meta和AWS的人工智能野心