资讯公告
  • 你的位置:
  • 首页
  • >
  • 资讯公告
  • >
  • 安全
  • >
  • 思科物联网无线接入点遭遇严重漏洞
思科物联网无线接入点遭遇严重漏洞
发布时间:2024-11-08 发布者:域风网

思科物联网无线接入点遭遇严重漏洞


思科的超可靠无线回程(URWB)硬件出现了一个难以忽视的漏洞,攻击者可以利用伪造的 HTTP 请求劫持接入点的 Web 界面。


思科称,该问题被认定为 CVE-2024-20418,影响到三种产品:Catalyst IW9165D 重型接入点、Catalyst IW9165E 强固型接入点和无线客户端,以及 Catalyst IW9167E 重型接入点。


不过,思科表示,这些接入点只有在URWB模式下运行易受攻击的软件时才会受到攻击。管理员可以使用 show mpls-config 命令确认 URWB 模式是否在运行中。如果该命令被禁用,设备就不会受到影响。思科其他不使用 URWB 的无线接入点产品也不受影响。


至于漏洞本身


“该漏洞是由于对基于 Web 的管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的基于 Web 的管理界面发送伪造的 HTTP 请求来利用这个漏洞。


“成功利用后,攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。


换句话说,这将是一次彻底的入侵。这种类型的漏洞在常见弱点枚举(CWE)数据库中被列为第 77 个,也被称为 “命令注入”。


这一点意义重大,因为就在今年 7 月,CISA 还警告过此类漏洞的危险性。


“CISA 写道:"当制造商在构建要在底层操作系统上执行的命令时,未能对用户输入进行适当验证和消毒,就会产生操作系统命令注入漏洞。


该组织恳求制造商通过采用安全设计原则来避免这一问题。

文章相关标签: 思科 物联网 漏洞
购物车
业务咨询:
售后服务: