思科发布安全更新,解决了思科 IOS Software IOx 应用程序环境中的一个严重漏洞。该漏洞可导致经验证的远程攻击者以根用户身份访问客户机操作系统 (Guest OS)。
这个高危缺陷是由一个不当的访问控制弱点引发的,它的编号为CVE-2019-12648,CVSSv3评分高达 9.9分。
CVE-2019-12648 影响思科1000 系列Connected Grid Routers (CGR 1000) 和思科800系列Industrial Integrated Services Routers,它们均匀性安装了客户机操作系统的 IOS Software 易受攻击版本。
安全公告指出,“当低权限用户请求访问本应被限制为管理员账户才能访问的客户机操作系统时,会引发错误的基于角色的访问控制(RBAC)评估。攻击者能够使用低权限用户凭证验证客户机操作系统,从而利用该漏洞。”
思科还补充道,“客户机操作系统是包含 Hypervisor、IOS 和 Guest OS 映像的捆绑 IOS映像的一部分。通过思科 IOS Software 映像包执行初始安装或软件升级的客户将在软件映像包安装过程中自动安装客户机操作系统。”
思科已发布免费安全更新解决该问题,并建议消费者联系思科技术协助中心(TAC) 或约定的维修提供商获取更多的资料。
如何检测设备是否易受攻击?
管理员可在设备 CLI 中使用命令 show iox host list detail 查看设备上是否启用了客户机操作系统。
思科在安全公告中提供了如下示例,说明了启用了客户机操作系统的命令输出结果:
Router#show iox host list detail | include OS status OS status: RUNNING
如果该命令不存在,或者所显示的输出结果在 OS Status 字段中未出现字符串“RUNNING”,那么该设备并未受影响。
无缓解措施
虽然目前尚不存在能够缓解 CVE-2019-12648 的措施,但在补丁修复前可通过卸载客户机操作系统的方式删除该攻击向量,方法是使用“全局配置模式中的 guest-os image uninstall命令”。
另外,思科产品安全事件响应团队 (RSIRT) 指出,在安全公告发布之时并未发现漏洞遭恶意利用或漏洞信息遭公开的情况。
思科发布了半年度Cisco IOS 和 IOS XE 软件一揽子安全公告(补丁日),其中包含说明了13个安全缺陷的12个思科安全公告,所有的这13个漏洞均未高危漏洞,CVSS评分为7.5到9.9。本文提到的漏洞也是其中的组成部分。
思科已发布解决所有这些漏洞的安全更新,以阻止攻击者利用未修复设备“获取越权访问权限、进行命令注入攻击或引发拒绝服务条件”。