在针对零售商的CMX软件中发现了十分严重的Cisco漏洞
思科修复了67个CVE严重漏洞,其中包括在AnyConnect安全移动客户端和RV110W、RV130、RV130W和RV215W小型企业路由器中发现的漏洞。
思科针对零售商的智能Wi-Fi解决方案中存在一个非常严重的漏洞,远程攻击者可以通过该漏洞更改受影响系统上任何用户的帐户密码。
该漏洞是思科在周三发布的针对67个高危CVE的一系列补丁的一部分,其中包括Cisco的AnyConnect安全移动客户端以及Cisco RV110W,RV130,RV130W和RV215W小型企业路由器中发现的漏洞。
最严重的漏洞存在于Cisco Connected Mobile Experiences(CMX),这是一种软件解决方案,零售商利用它来进行业务或现场客户体验分析。该解决方案使用思科无线基础设施,从零售商的Wi-Fi网络收集大量数据,包括实时客户位置跟踪。
例如,如果客户连接到使用CMX的商店的Wi-Fi网络,则零售商可以跟踪他们在场所内的位置,观察他们的行为,并当他们在店里的时候向他们提供特别优惠或促销。
该漏洞(CVE-2021-1144)是由于更改密码的授权检查处理不正确造成的,这个漏洞在CVSS漏洞严重性等级中的等级为8.8(满分10)。值得注意的是,要利用此漏洞,攻击者必须拥有经过身份验证的CMX帐户,但无需管理权限。
思科说:“经过身份验证后,这些没有管理权限的攻击者可以通过向受影响的设备发送修改后的HTTP请求来利用此漏洞。成功利用漏洞可以使攻击者更改系统上任何用户(包括管理用户)的密码,然后冒充该用户。”
管理员具有多种权限,包括使用文件传输协议(FTP)命令来备份和还原Cisco CMX上的数据以及获得对凭证的访问权限(以解锁账户被锁定的用户)。
此漏洞影响Cisco CMX 10.6.0、10.6.1和10.6.2版本,Cisco CMX 10.6.3及更高版本中已经修复了此漏洞。
其他严重缺陷
Windows的Cisco AnyConnect安全移动客户端中存在另一个严重漏洞(CVE-2021-1237)。AnyConnect Secure Mobility Client是一种模块化的端点软件产品,为端点提供了广泛的安全服务(如远程访问、web安全功能和漫游保护)。
该漏洞允许经过身份验证的本地攻击者执行动态链接库(DLL)注入攻击。思科称,要利用此漏洞,攻击者需要在Windows系统上拥有有效的凭证。
思科称:“攻击者可以通过在系统的特定路径中插入配置文件来利用此漏洞,从而在应用程序启动时加载恶意的DLL文件。成功利用漏洞可以使攻击者以系统权限在受影响的计算机上执行任意代码。”
其中60个CVE存在于思科小型企业RV110W、RV130、RV130W和RV215W路由器的Web管理界面中。这些漏洞可能允许经过身份验证的远程攻击者执行任意代码,或导致受影响的设备意外重新启动。
思科说:“攻击者可以通过向受影响的设备发送精心编制的HTTP请求来利用这些漏洞。成功利用这些漏洞可以使攻击者能够以root用户身份在基础操作系统上执行任意代码,或导致设备重新加载,从而导致拒绝服务(DoS)状态。”
并且,思科小型企业RV110W、RV130、RV130W和RV215W路由器中还有五个CVE(CVE-2021-1146,CVE-2021-1147,CVE-2021-1148,CVE-2021-1149和CVE-2021-1150)可能允许经过身份验证的远程攻击者注入以root权限执行的任意命令。
值得注意的是,思科表示将不会为思科小型企业RV110W、RV130、RV130W和RV215W路由器发布软件更新,因为它们的使用寿命已经到达尽头。
思科表示:“思科尚未发布也不会发布软件更新来解决此通报所述的漏洞。思科小型企业RV110W、RV130、RV130W和RV215W路由器已进入报废程序。”
本文翻译自:https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/如若转载,请注明原文地址。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
三大运营商2020数据解读,这下可以放心用5G了
三大运营商发布12月数据,5G成绩亮眼 近日,三大运营商相继发布了12月份的运营数据报告,至此,2020全年的通信运营数据全面出炉。 下面就来详细看看去年表现到底如何,即是回顾过去,也是展望未来,以此更好的把握2021年的发展脉络。 就具体数据上看: 用户总数上,中国移动和中国联通用户减少,只有中国电信在增加,但整体来看,总的用户数却是减少的,这也说明了移动用户数量逐渐饱和,甚至出现减少的趋势。 2020年全年,中国移动用户累计净减835.9万,中国联通累计净减1266.4万,中国电信则是净增1545万。 三者相加,还有大约557.3万用户“消失”,大概是因为双卡或多卡用户注销了部分账户,以及一些诈骗账户被清理等。 另外,之所以出现增减不一的情况,很可能是“携号转网”的影响,如此看来,去年人们对中国电信更加认可。 不过从各自的用户数来看,中国移动依然遥遥领先,用户总数高达9.41918亿户,而中国联通用户数为3.06亿,中国电信用户数为3.5102亿户,相差依然不小。 4G用户上,中国移动、中国联通都有所增长,中国电信则未披露具体数据,但大概率也有所增长,因为去年三家运营商都在逐步关停...
- 下一篇
阿里云 MaxCompute 2020-10 月刊
【10月新功能发布】 1、MaxCompute 支持 sort by 不带 distribute by MaxCompute 支持 sort by 不带 distribute by,提供数据重排的解决方案,提高SQL执行的过滤性能。 适用客户开发者 发布功能MaxCompute 支持不带 distribute by 的sort by,提供数据重排的解决方案,提高谓词下推的过滤性能。当 sort by 语句前没有 distribute by 时能够增加 存储压缩率,同时读取的时候如果有过滤,能够利用这个信息减少真正从磁盘读取的数据量,提高后面进行的全局排序的效率。 查看文档 >>2、SEMI JOIN 支持 MAPJOIN Hint SEMI JOIN支持MAPJOIN Hint,提高 LEFT SEMI/ANTI JOIN的性能,为数据倾斜问题提供解决方案。 适用客户开发者,分析师 发布功能当一个大表和一个或多个小表JOIN时,用户可以在SELECT语句中显式指定MAPJOIN Hint以提升查询性能。目前MAPJOIN Hint进一步支持 LEFT SEMI JOIN和L...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS7安装Docker,走上虚拟化容器引擎之路