思科本周接连发布数项安全公告,以修补其SD-WAN设备、管理软件Smart Software Manager Satellite及DNA Center等产品安全漏洞,包含高达9.8及9.9的重大风险漏洞。
思科针对SD-WAN设备发布CVE-2021-1299及CVE-2021-1300。其中CVE-2021-1299为一举令注入漏洞,源于SD-WAN vManage Software对用户输入的template组态信息验证不当,可让攻击者发送恶意组态开采,而取得根权限的访问权,得以以管理员权限执行任意程序代码。CVE-2021-1300则属于SD-WAN Software的缓冲溢出漏洞,攻击者可发送恶意IP流量开采造成系统缓冲溢出,也能借此在底层操作系统上,以根权限执行任意程序代码。两者CVSS 3.1风险层级分别达到9.9及9.8,属于重大漏洞。
这两项软件组件也分别出现中度风险漏洞,包括Cisco SD-WAN CLI的CVE-2021-1261指令注入漏洞,及SD-WAN Software CVE-2021-1301缓冲溢出漏洞。
值得注意的是,思科的SD-WAN产品线包括vBond Orchestrator Software、vEdge Cloud Routers、vEdge Routers、vManage Software、vSmart Controller Software受到上述2个重大漏洞影响。
另外,思科也修补智能软件管理员产品Smart Software Manager Satellite 5.1.0版本以前,位于UI三项指令注入漏洞,包括CVE-2021-1138、CVE-2021-1139、CVE- 2021-1140。攻击者可发送恶意HTTP调用开采,以便在OS上以高度权限身份执行任意程序代码。三项漏洞风险皆达到9.8重大等级。这个UI同时还存在2个高度风险(8.8分)的指令注入漏洞CVE-2021-1139及CVE-2021-1141。
最后,思科修补了企业意向型网络软件的DNA Center1.3.1.0版本以前的指令注入漏洞CVE-2021-1264,可让攻击者发送恶意指令或经由API call执行指令开采,而在由DNA Center管理的系统上执行任意CLI指令,风险评分也达到9.6。
上述漏洞多半没有权宜性的避险做法(workaround)。思科表示尚未发现漏洞有被滥用的证据,不过由于风险重大,呼吁用户尽快安装修补程序。