CH azonosító: CH-14679 Cím: Cisco Small Business 220 Series Smart Switch sérülékenységek Angol cím: Cisco Small Business 220 Series Smart Switch vulnerabilities
Publikálás dátuma: 2019.08.07. Utolsó módosítás dátuma: 2019.08.07.
Leírás
A Cisco Small Business 220 Series Smart Switch sérülékenységei váltak ismertté, amelyek kihasználásával a támadó átveheti az irányítást az érintett eszköz felett.
Leírás forrása: Gyártói referencia:
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
Leírás utolsó módosítása: 2019.08.08.
Elemzés leírás
A Cisco Small Business 220 Series Smart Switch három sérülékenysége vált ismerté, amelyek segítségével lehetőség nyílik a hitelesítés megkerülésére, távoli kód végrehajtásra és parancs injektálására.
A hitelesítést megkerülő módszer segítségével a webes felület hiányosságai révén a támadónak lehetősége nyílik arra, hogy egy rosszindulatú kérés küldésével módosíthassa az eszköz konfigurációját. Távoli kód futtatása puffer túlcsordulás hiba előidézésével lehetséges, parancs befecskendezéses támadás kivitelezése pedig egy rosszindulatú kérést elküldésével, amelyhez a támadónak egy érvényes munkamenetre van szüksége. Mindezzel lehetőség nyílik tetszőleges parancsok végrehajtására root jogosultsággal.
Érintett verziók: 1.1.4.4 előtti verziók.
Megoldás: A Cisco az 1.1.4.4-es verziótól kezdődően javította a hibát.
Elemzés leírás forrása: Gyártói referencia:
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
Elemzés leírás utolsó módosítása: 2019.08.08.
Hatás
CVSS3 Severity and Metrics
Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
CVSS2 Severity and Metrics
Base score: 10.0 (Kritikus)
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
Impact Subscore: 10.0
Exploitability Subscore: 10.0
Access Vector (AV): Network
Access Complexity (AC): Low
Confidentiality Impact (C): Complete
Integrity Impact (S): Complete
Availability Impact (A): Complete
Hivatkozások
CVE-2019-1912 - NVD CVE-2019-1912
CVE-2019-1913 - NVD CVE-2019-1913
CVE-2019-1914 - NVD CVE-2019-1914
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: www.zdnet.com
