“思科警报 修补此危险的漏洞 使其可以通过恶意广告进行远程攻击”

思科在基于web的ios xe软件客户界面上修复了严重错误。 这个缺陷使得网络上的每个人都可以不用密码秘密访问内部互联网。

远程攻击者可以在受影响的系统中采用跨站点请求伪造( csrf )攻击，以利用这个新发现的漏洞(作为cve-2019-1904进行跟踪)。

cisco ios xe是该企业网络操作系统( ios )的基于linux的版本，可用于许多企业路由器和cisco catalyst交换机。 思科确认此错误不会影响ios、ios xr或nx-os的变体。

思科解释说，这种漏洞是因为受影响设备的web ui没有足够的csrf保护。 攻击者可以说服此界面的客户遵循恶意链接，从而利用此漏洞。

在攻击情况下，csrf漏洞可能隐藏在恶意广告中，并本身成为漏洞利用工具包的武器。 利用这一缺点的吸引力在于攻击者可以瞄准内部互联网和管理员而不发出警告。

成功利用此漏洞的攻击者可以在与受影响的客户相同的权限级别上执行所需的操作。

思科警告说，如果客户拥有管理权限，攻击者可能会更改配置、执行命令或重新加载受影响的设备。

解决这个漏洞的唯一方法是安装思科提供的软件更新。 这些更新仅适用于拥有相对有效的cisco许可证的客户。

这个漏洞被red balloon security的研究者发现，该公司发现了thangrycat。 这是5月份公开的一个重大漏洞，影响了思科的信任措施模块( tam )。 这是思科装备的硬件安全芯片。

该公司还在ios xe的web界面中发现了单独的远程代码执行缺陷。

思科表示，没有新的错误应对措施，但禁用http服务器功能可能会是适当的缓解措施，直到该攻击介质关闭，受影响的设备执行固定版本为止。

思科指出，存在与该ios xe漏洞相比较的概念验证漏洞利用代码。 但是，他补充说，没有迹象表明漏洞利用代码可以被公开获取。

本文：《“思科警报 修补此危险的漏洞 使其可以通过恶意广告进行远程攻击”》