Cisco Small Business 220 Series Smart Switch sérülékenységek
Angol cím: Cisco Small Business 220 Series Smart Switch vulnerabilities
CH azonosító: CH-14679
Publikálás dátuma: 2019.08.07.
Utolsó módosítás dátuma: 2019.08.07.
Leírás
A Cisco Small Business 220 Series Smart Switch sérülékenységei váltak ismertté, amelyek kihasználásával a támadó átveheti az irányítást az érintett eszköz felett.
Leírás forrása: Gyártói referencia:
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
Leírás utolsó módosítása: 2019.08.08.
Elemzés leírás
A Cisco Small Business 220 Series Smart Switch három sérülékenysége vált ismerté, amelyek segítségével lehetőség nyílik a hitelesítés megkerülésére, távoli kód végrehajtásra és parancs injektálására.
A hitelesítést megkerülő módszer segítségével a webes felület hiányosságai révén a támadónak lehetősége nyílik arra, hogy egy rosszindulatú kérés küldésével módosíthassa az eszköz konfigurációját. Távoli kód futtatása puffer túlcsordulás hiba előidézésével lehetséges, parancs befecskendezéses támadás kivitelezése pedig egy rosszindulatú kérést elküldésével, amelyhez a támadónak egy érvényes munkamenetre van szüksége. Mindezzel lehetőség nyílik tetszőleges parancsok végrehajtására root jogosultsággal.
Érintett verziók: 1.1.4.4 előtti verziók.
Megoldás: A Cisco az 1.1.4.4-es verziótól kezdődően javította a hibát.
Elemzés leírás forrása: Gyártói referencia:
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
Elemzés leírás utolsó módosítása: 2019.08.08.
Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):
CVSS2 Súlyosság és Metrika
Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/Au:N/C:C/I:C/A:C
Hatás alpontszáma: 10.0
Kihasználhatóság alpontszáma: 10.0
Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Teljes
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Teljes
Hivatkozások
CVE-2019-1912 - NVD CVE-2019-1912
CVE-2019-1913 - NVD CVE-2019-1913
CVE-2019-1914 - NVD CVE-2019-1914
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: www.zdnet.com