思科的超可靠无线回程(URWB)硬件出现了一个难以忽视的漏洞,攻击者可以利用伪造的 HTTP 请求劫持接入点的 Web 界面。
思科称,该问题被认定为 CVE-2024-20418,影响到三种产品:Catalyst IW9165D 重型接入点、Catalyst IW9165E 强固型接入点和无线客户端,以及 Catalyst IW9167E 重型接入点。
不过,思科表示,这些接入点只有在URWB模式下运行易受攻击的软件时才会受到攻击。管理员可以使用 show mpls-config 命令确认 URWB 模式是否在运行中。如果该命令被禁用,设备就不会受到影响。思科其他不使用 URWB 的无线接入点产品也不受影响。
“该漏洞是由于对基于 Web 的管理界面的输入验证不当造成的。攻击者可以通过向受影响系统的基于 Web 的管理界面发送伪造的 HTTP 请求来利用这个漏洞。
“成功利用后,攻击者可以在受影响设备的底层操作系统上以 root 权限执行任意命令。
换句话说,这将是一次彻底的入侵。这种类型的漏洞在常见弱点枚举(CWE)数据库中被列为第 77 个,也被称为 “命令注入”。
这一点意义重大,因为就在今年 7 月,CISA 还警告过此类漏洞的危险性。
“CISA 写道:"当制造商在构建要在底层操作系统上执行的命令时,未能对用户输入进行适当验证和消毒,就会产生操作系统命令注入漏洞。
该组织恳求制造商采用安全设计原则来避免这一问题。
URWB 产品线是一个坚固耐用的接入点系列,适用于工业或户外环境。思科在 2020 年收购意大利公司 Fluidmesh Networks 时获得了 URWB 的基础技术。
URWB 模式允许接入点在通常难以保证的环境中支持高速、可靠、低延迟的无线连接。
Fluidmesh Network公司联合创始人兼前首席执行官翁贝托-马莱西(Umberto Malesci)在2021年的一篇博客中介绍了该技术,并列举了该技术的几个应用案例,包括在法国的动车组上实现1000台设备的IP摄像头网络,实现对马耳他港口起重机的无线控制,以及作为支持米兰无人驾驶地铁列车的基础设施的一部分。
“试想一下,远程监控列车、地铁、公共交通、矿井或港口上的移动资产是多么困难。如果你在查看电子邮件时掉了几个数据包,没有人会注意到。相比之下,在远程控制起重机或自动驾驶汽车时丢包可能会造成严重后果,"Malesci 写道。
Malesci 写道:"这些使用案例的关键性凸显了优先修补漏洞的重要性。不过,由于这类接入点通常被隔离在专用的物联网网段上,因此尚不清楚攻击者直接瞄准该漏洞有多容易。如果是这样的话,攻击者可能需要无线接近才能利用这个漏洞。
上一条: 施耐德电气因战略分歧罢免首席执行官
