速修复！思科 IOS XE 软件被曝高危漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

今天，思科发布了 IOS XE 更新版，修复了一个高危的跨站点请求伪造 (CSRF) 漏洞，目前利用代码已发布。

黑客能够利用 CSRF 缺陷强迫认证用户在网页或应用中执行不必要的动作。这些攻击可通过恶意链接实施，而该动作以登录用户权限执行。

该漏洞的编号是 CVE-2019-1904，影响过时的思科 IOS XE 版本，严重度评分是8.8分（总分为10分）。它存在于产品的web 用户接口中。

思科在安全公告中指出，“该漏洞产生的原因在于受影响设备的 web UI 未执行充分的 CSRF 保护措施。攻击者可说服接口用户点击恶意链接以利用该利用代码。”

漏洞如遭成功利用可导致攻击者在受影响设备运行任意动作。如果系统上的 HTTP Server 功能活跃（该状态在软件的多个版本中并非默认设置），那么就可能执行任意动作。

思科表示，可通过禁用 HTTP Server 功能实施缓解。思科表示，“管理员可在全局配置模式下使用 no ip http server 或 no ip http secure-server 命令禁用 HTTP Server 功能。如果 http server 和 http-secure server 同时都在使用，那么需要这两个命令才能禁用 HTTP Server 功能。”

由于用户决定是否登录，因此欺骗管理员点击恶意链接的黑客能够更改配置、运行命令或重新加载易受攻击的设备。

要判断某个 IOS XE 版本是否易受该漏洞攻击，思科提供了一个软件查看器，识别出“影响某个具体软件发行版本的安全公告以及修复每个安全公告中说明的这些漏洞的最早的发行版本。”

已存在演示该漏洞影响的利用代码，不过没有信息表明该代码已被公开。

该漏洞是由 Red Balloon Security 公司的研究员 James Chambers 在思科的一次内部安全测试中发现的。

原文链接

https://www.bleepingcomputer.com/news/security/cisco-ios-xe-software-receives-fix-against-high-severity-flaw/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。