思科已經(jīng)披露了29個新的漏洞,并警告客戶使用其ASR 9000系列聚合服務(wù)路由器來安裝更新,以解決可以在沒有用戶憑據(jù)的情況下遠(yuǎn)程利用的關(guān)鍵漏洞。標(biāo)識符為CVE-2019-1710的ASR漏洞是思科披露的數(shù)十個漏洞中最嚴(yán)重的漏洞。該錯誤的嚴(yán)重等級為9.8,可能為10。該漏洞存在于ASR路由器上的sysadmin虛擬機中,該路由器運行易受攻擊的Cisco IOS XR 64位軟件版本。攻擊者可以使用該漏洞訪問VM上運行的應(yīng)用程序。
“該漏洞是由于二級管理接口與內(nèi)部系統(tǒng)管理員應(yīng)用程序的隔離錯誤造成的,”思科解釋說。
“攻擊者可以通過連接到其中一個偵聽內(nèi)部應(yīng)用程序來利用此漏洞。成功利用此漏洞可能會導(dǎo)致不穩(wěn)定的情況,包括拒絕服務(wù)和遠(yuǎn)程未經(jīng)身份驗證的設(shè)備訪問。”
思科詳細(xì)介紹了一種解決方法,但指出它確實有軟件更新來修復(fù)漏洞。Cisco IOS XR 64位軟件版本6.5.3和7.0.1中修復(fù)了此問題。該補丁有效地實現(xiàn)了思科的詳細(xì)信息,包括運行bash和編輯calvados_bootstrap.cfg文件。
該公司還發(fā)布了警報,稱兩個先前修補的漏洞正在被稱為Sea Turtle的DNS劫持活動中被利用。
在內(nèi)部測試期間,思科發(fā)現(xiàn)了其余五個高嚴(yán)重性漏洞。三他們影響思科無線局域網(wǎng)控制器軟件,另一個會影響思科高速公路系列和思科網(wǎng)真視頻通信服務(wù)器,和第五影響的Cisco Aironet系列接入點。思科表示,它并不知道任何高嚴(yán)重性漏洞受到攻擊