思科S系列220系列交换机多个漏洞预警

补天漏洞响应平台近期监测思科官方发布了关于思科 S 系列 220 系列交换机的3个漏洞修复通告，其中包含2个高危漏洞，最高CVSS 3.0评分9.8。

更新时间	2019年 08月 09日
威胁目标	使用思科 S 系列 220 系列交换机的企业
主要风险	远程代码执行 认证绕过  命令注入
攻击入口	WEB管理界面
使用漏洞	CVE-2019-0192、CVE-2019-0193、CVE-2019-0194
受影响应用	思科 S 系列 220 系列交换机固件版本 < 1.1.4.4
已知影响	GetShell
威胁程度	高

情报风险预警：对公司影响等级为高，对使用思科 S 系列 220 系列交换机的企业均有被攻击的风险。

情报描述

l  命令注入漏洞 CVE-2019-1914

思科（Cisco Small Business）220系列智能交换机的Web管理界面中的漏洞可能允许经过身份验证的远程攻击者执行命令注入攻击。

该漏洞是由于用户提供的输入验证不充分。攻击者可以通过向Web管理界面的某些部分发送恶意请求来利用此漏洞。要发送恶意请求，攻击者需要在Web管理界面中作为特权级别15用户进行有效的登录会话。根据受影响的交换机的配置，必须通过HTTP或HTTPS发送恶意请求。成功利用可能允许攻击者使用root用户的权限执行任意shell命令。

l  远程代码执行漏洞 CVE-2019-1913

思科（Cisco Small Business）220系列智能交换机的Web管理界面中的多个漏洞可能允许未经身份验证的远程攻击者溢出缓冲区，然后允许在底层操作系统上以root权限执行任意代码。

这些漏洞是由于在将数据读入内部缓冲区时对用户提供的输入的验证不充分以及不正确的边界检查。攻击者可以通过向受影响设备的Web管理界面发送恶意请求来利用这些漏洞。根据受影响的交换机的配置，必须通过HTTP或HTTPS发送恶意请求。

l  认证绕过漏洞 CVE-2019-1912

思科（Cisco Small Business）220系列智能交换机的Web管理界面中的漏洞可能允许未经身份验证的远程攻击者上载任意文件。

该漏洞是由于Web管理界面中的授权检查不完整所致。攻击者可以通过向Web管理界面的某些部分发送恶意请求来利用此漏洞。根据受影响的交换机的配置，必须通过HTTP或HTTPS发送恶意请求。成功利用可能允许攻击者修改受影响设备的配置或注入反向shell。

Cisco Small Business 220 Series Smart Switches 固件版本 < 1.1.4.4

受影响产品及版本：

思科 S 系列 220 系列交换机    固件版本 < 1.1.4.4

解决方案：

总结以及处置建议

漏洞检测：

在CLI上使用show running-config命令，如果配置中存在

no ip http server

no ip http secure server

则表明Web面板已启用，建议立即进行更新。

处置建议：

思科已发布最新的固件进行修复，相关链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-auth_bypass

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-rce

参考链接

https://tools.cisco.com/security/center/publicationListing.x