综述
近日,思科(Cisco)官方发布通告称修复了Cisco SD-WAN vManager Software(CVE-2020-3374)和SD-WAN Solution Software(CVE-2020-3375)的2个高危漏洞。
Cisco SD-WAN是一种安全的云规模架构,具有开放性,可编程性和可扩展性。 通过Cisco vManage控制台,您可以快速建立SD-WAN覆盖结构以连接数据中心,分支机构,园区和主机托管设施,以提高网络速度,安全性和效率。
漏洞概述
1. CVE-2020-3374
Cisco SD-WAN vManage软件基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者绕过授权,使他们能够访问敏感信息,修改系统配置或影响受影响系统的可用性。
Base 9.9 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X
漏洞详细信息:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uabvman-SYGzt8Bv
2. CVE-2020-3375
Cisco SD-WAN解决方案软件中的漏洞可能允许未经身份验证的远程攻击者在受影响的设备上造成缓冲区溢出。
该漏洞是由于输入验证不足所致。 攻击者可以通过将特制流量发送到受影响的设备来利用此漏洞。 成功利用该漏洞可能使攻击者获得对设备的访问权,可以更改系统的权限,并以root权限在受影响的系统上执行命令。
Base 9.8 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:X/RL:X/RC:X
漏洞详细信息:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdbufof-h5f5VSeL
受影响的产品
- CVE-2020-3374
所有使用了SD-WAN vManager Software的产品
- CVE-2020-3375
所有使用了SD-WAN Solution Software的产品,包括:
- IOS XE SD-WAN Software
- SD-WAN vBond Orchestrator Software
- SD-WAN vEdge Cloud Routers
- SD-WAN vEdge Routers
- SD-WAN vManage Software
- SD-WAN vSmart Controller Software
详细的受影响版本请参考相关漏洞的官方通告。
解决方案
思科官方已经发布新版本修复了这些漏洞,请用户尽快升级进行防护。