Cisco策略套件中的硬编码SSH密钥允许远程黑客获得根访问权限
Cisco Systems发布了安全更新,以解决多个Cisco产品中的漏洞,攻击者可以利用这些漏洞以根用户身份登录并控制易受攻击的系统
该漏洞被追踪为CVE-2021-40119,在CVSS评分系统上,该漏洞的严重性最高为10级,其严重性为9.8级,源于Cisco Policy Suite的SSH身份验证机制的弱点
“攻击者可以通过SSH连接到受影响的设备,利用此漏洞进行攻击,”网络专业人士在一条建议中解释道,并补充说“成功利用此漏洞可使攻击者以根用户身份登录受影响的系统。”思科表示,该漏洞是在内部安全测试期间发现的
Cisco Policy Suite 21.2.0及更高版本还将在安装过程中自动创建新的SSH密钥,同时需要手动过程来更改从21.1.0升级的设备的默认SSH密钥
Cisco还解决了影响Cisco Catalyst无源光网络(PON)系列交换机光网络终端(ONT)基于网络的管理接口的多个关键漏洞,这些漏洞可能导致未经验证的,远程攻击者使用设备中存在的无意调试帐户登录,并接管控制、执行命令注入和修改设备的配置
这些漏洞会影响以下设备—
- 催化剂PON公司CGP-ONT-1P
- 催化剂PON公司CGP-ONT-4P
- 催化剂PON开关CGP-ONT-4PV
- 催化剂PON开关CGP-ONT-4PVC
- 催化剂PON公司CGP-ONT-4TVCW
Hotzone GmbH的Marco Wiorek已经被归功于Hotzone GmbH的Marco Wiorek的工作。Hotzone GmbH的Marco Wiorek已经被归功于Hotzone GmbH的Marco Wiorek的工作。Hotzone GmbH的Marco Wiorek已经被归功于报告了三个被分配了标识符的三个漏洞,已经被分配了三个被分配了三个漏洞的漏洞,已经被分配了三个被分配了被分配了三个漏洞的漏洞。
最后,Cisco修复了Cisco Small Business Series交换机和Cisco Asynco中两个更严重的缺陷,这两个缺陷可能允许未经验证的远程对手未经授权访问交换机的基于web的管理界面,并实施拒绝服务(DoS)攻击—
CVE-2021-34741(CVSS分数:7.5)-思科电子邮件安全设备(ESA)拒绝服务漏洞