吸烟
有害健康!
当前位置:交换云生 安全技术 正文

Cisco IOS XE 软件 Web UI 权限提升漏洞

2023-10-20 分类:安全技术 阅读() 评论(0)
文章目录 隐藏
一、受影响版本排查
二、排查方法
三、修复建议
四、参考链接

近日,Cisco发布了Cisco IOS XE 软件 Web UI 权限提升漏洞的安全公告。当Cisco IOS XE 软件的web UI 暴露于互联网或不受信任的网络时,未经身份验证的远程攻击者可以利用该漏洞在受影响的系统上创建具有15级访问权限的帐户。随后,攻击者可以使用该帐户来控制受影响的系统。

Cisco IOS XE 是思科公司的一款开放、灵活的操作系统,旨在为未来的工作场景进行优化。Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管理性以及增强用户体验。Web UI 可用于构建配置以及监控系统和排除系统故障,而无需 CLI 专业知识。

鉴于该漏洞已存在在野利用,建议广大客户排查受影响产品,如暂时无法升级的客户,可以通过临时方案或对应产品进行防护。

一、受影响版本排查

登录系统并在 CLI 中使用show running-config | include ip http server|secure|active命令检查全局配置中是否存在ip http serverip http secure-server命令。

注意:

1.如果存在任一命令,则表示系统启用 了HTTP 服务器功能,代表该系统受影响。
2.如果存在ip http server命令并且配置还包含ip http active-session-modules none,则无法通过 HTTP 利用该漏洞。
3.如果存在ip http secure-server命令并且配置还包含ip http secure-active-session-modules none,则无法通过 HTTPS 利用该漏洞。

二、排查方法

1.  检查系统日志中是否存在以下任何日志消息,其中用户可能是cisco_tac_admin、cisco_support或网络管理员未知的任何已配置本地用户。

注意:用户访问 Web UI 的每个实例都会出现%SYS-5-CONFIG_P消息。要查找的指示符是消息中存在的新的或未知的用户名。

2.   Cisco 提供了以下命令来检查是否存在被植入,如果请求返回十六进制字符串,则    表明存在植入程序。

 curl -k -X POST "https://systemip/webui/logoutconfirm.html?logon_hash=1"

三、修复建议

1.  官方修复方案:

升级官方补丁:

https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-xe/index.html

2.  临时修复方案: 

禁用 HTTP/HTTPS 服务器功能或将这些功能部署于受信任网络。可以使用no ip http server 或 no ip http secure-server关闭HTTP/HTTPS 服务器功。

四、参考链接

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iosxe-webui-privesc-j22SaA4z

https://www.cisco.com/c/en/us/products/ios-nx-os-software/ios-xe/index.html

https://www.bleepingcomputer.com/news/security/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/

本文链接:https://www.xxdis.com/security/1538.html

Cisco IOS XE 软件 Web UI 权限提升漏洞
Cisco IOS XE软件 Web UI 权限提升漏洞
赞(0) 打赏
未经允许不得转载:交换云生 » Cisco IOS XE 软件 Web UI 权限提升漏洞
分享到

相关推荐

评论 抢沙发

取消

作者介绍

Avatar photo

wen

作为一名路由器,我每天都在和交换机打交道

  1. 130文章总数
  2. 2.5万阅读总数
  3. 111点赞总数
阅读作者的全部文章

热门标签

高效运维(25)Comware(14)虚拟化(11)Linux(10)网站建设(10)故障排查(10)H3C认证(8)MacOS(6)Windows(4)服务器(4)云桌面(4)无线网络(3)网闸(3)数据库(3)微软域控(2)shell脚本(2)Excel表格(2)VPN技术(1)漏洞通告(1)

功能大全

资源分类

热门资源

  • VMware产品兼容性矩阵网站

    在虚拟化和云计算领域,VMware一直是行业的领导者之一。为了确保用户在不同VMware产品之间的平稳集成和协同工作,VMware提供了一个重要而强大的工具,即“VMware产品兼容性矩阵网站”(VMware Product Compatibility Matrix)。

    如何访问VMware产品兼容性矩阵?

    访问VMware产品兼容性矩阵非常简单。
    你只需要打开你的浏览器,输入以下网址:VMware Compatibility Guide。该网站提供了一个直观而强大的搜索引擎,让你能够根据自己的需求快速找到所需信息。

    本文链接:https://www.xxdis.com/share/fun_station/2594.html

    项目地址1:https://www.vmware.com/resources/compatibility/search.php
    项目地址2:https://interopmatrix.vmware.com

  • DLL文件库及百科网站

    DLL文件介绍

    DLL(Dynamic Link Library)是一种包含可由多个程序共享的代码和数据的文件格式。DLL 文件通常包含用于执行特定任务的函数、类和变量。这些文件允许程序在运行时动态链接到它们,从而共享它们的功能,避免在每个程序中重复编写相同的代码。

    一旦系统错误窗口在你面前弹出并提到缺少DLL,在这个网站上可以下载任何缺失的DLL文件。

    本文地址:https://www.xxdis.com/share/fun_station/2565.html

    项目地址:https://windll.com/zh

  • H3CIE网络工程师培训视频

    H3CIE-RS+(H3C Certified Internetwork Expert for Routing & Switching Plus,H3C认证路由交换互联网络专家)。H3CIE-RS+认证强调和注重网络规划、网络故障排查等综合能力的培养。H3CIE-RS+认证不仅将帮助您掌握大中型数据网络中常用网络技术知识和规划设计知识,还将让您具备熟练操作H3C公司各种网络产品、完成大中型企业网和园区网络各种配置维护操作的能力,并能够进行网络故障的诊断与排除,使网络运行畅通无阻。

    资源清单

    本文地址:https://www.xxdis.com/share/video_course/2496.html

  • 等保2.0相关书籍资料

    等级保护2.0介绍

    等级保护2.0,全称为信息安全等级保护2.0(以下简称等保2.0),是中国国家信息安全标准化技术委员会(TC260)颁布的一项信息安全标准,旨在加强和规范各类信息系统的安全管理,确保国家的信息安全。等保2.0标准于2019年正式发布,取代了之前的等级保护1.0标准,以更好地适应当今复杂多变的网络环境。

    资源清单

    本文地址:https://www.xxdis.com/share/books/2489.html

  • 网络工程师H3CSE历年精选培训视频

    H3CSE-RS+(H3C Certified Senior Engineer for Routing & Switching Plus,H3C认证路由交换网络高级工程师)证书可以证明其持有者掌握了包括路由、交换、组播、VPN、QoS、基本安全特性、VXLAN、EVPN等部署路由交换网络所需的全方位的理论知识和操作技能,可以胜任大中型复杂网络的建设和管理工作。

    证书亮点

    1. 全方位知识涵盖: H3CSE-RS+持有者通过认证,表明其在路由交换网络领域具备全方位的理论知识,覆盖了网络设计与管理所需的关键要素。
    2. 实践操作技能: 证书的持有者不仅了解理论知识,还能够熟练运用这些知识进行实际操作。这包括了路由、交换、组播、VPN等技术的实际部署和配置。
    3. 适用于大中型复杂网络: H3CSE-RS+证书的培训内容旨在使持有者能够胜任大中型复杂网络的建设和管理工作,为网络专业人员提供更广阔的职业发展空间。

    视频教程内容

    本文地址:https://www.xxdis.com/share/video_course/2479.html

  • H3C-HCL网络设备实验模拟器使用视频教程

    本教程旨在帮助您熟练掌握H3C-HCL模拟器的使用,从而更有效地进行网络设备实验与模拟。无论您是网络工程师、学生还是对网络技术感兴趣的爱好者,这个视频系列都将成为您学习的得力助手。

    安装建议

    1.建议使用Win10/Win7操作系统,使用自带virtual box 6.0.14;
    2.须在BIOS中开启VT-x以启用虚拟化技术
    3.Windows安全中心-设备安全性-内核隔离,内存完整性设置需保持关闭状态(一般默认关闭)
    4.需要关闭Windows Hyper-v相关功能

    v5.10.1版本新增功能

    一、客户端UI功能部分
    1.帮助文档更新

    二、模拟产品部分
    1. 网络设备、Server及Server2:性能优化
    2. 自定义设备:性能优化、初始配置调整

    视频教程内容概览

    1. H3C-HCL模拟器介绍: 了解H3C-HCL模拟器的基本特性和功能,为后续的实验做好准备。
    2. 模拟器安装与配置: 演示如何正确安装和配置H3C-HCL模拟器,确保您能够顺利启动并运行实验。
    3. 基础实验操作: 从基础开始,学习如何在模拟器中进行常见的网络设备配置,包括路由器、交换机等。
    4. 高级功能实验: 深入探讨H3C-HCL模拟器的高级功能,包括VLAN配置、静态路由设置等。
    5. 网络拓扑设计与实验案例: 学习如何设计复杂的网络拓扑,以及如何应用所学知识解决实际网络问题。

    本文地址:https://www.xxdis.com/share/video_course/2472.html

  • 网络安全Kali Linux精品全套视频教程

    在当今数字化时代,网络安全变得愈发重要,而深入了解渗透测试与漏洞挖掘成为网络安全领域中不可或缺的技能。本系列教程将带领您踏上一段充满挑战的实际学习之旅,解锁渗透测试与漏洞挖掘的技术奥秘。

    视频教程覆盖了从虚拟机的安装、Kali Linux的配置,到漏洞扫描、Metasploit的利用,以及Burp Suite等工具的高级技巧。无论您是初学者还是经验丰富的专业人士,这个系列都将提供全方位的实用知识,助您在网络安全的实际应用中更上一层楼。

    教程内容

    1. 课程大纲和学习路线.mp4: 介绍整个课程的大纲和学习路线,帮助学习者了解课程结构和目标。
    2. VMware 虚拟机安装(上).mp4: 指导学习者进行VMware虚拟机的安装,包括上半部分的相关步骤。
    3. VMware常用功能介绍(上).mp4: 介绍VMware虚拟机的常用功能,上半部分的功能介绍。
    4. VMware 常用功能介绍(下).mp4: 继续介绍VMware虚拟机的常用功能,下半部分的功能介绍。
    5. Kali操作系统安装配置.mp4: 指导学习者安装和配置Kali操作系统,为渗透测试做准备。
    6. PhpStudy安装.mp4: 演示如何安装PhpStudy,为后续的Web应用程序测试做准备。
    7. Kali环境安装作业解析.mp4: 对Kali环境安装作业进行解析,帮助学习者理解和完成相关任务。
    8. 网络空间测绘fofa.mp4: 指导使用fofa进行网络空间测绘,收集有关目标的信息。
    9. nmap 端口扫描.mp4: 学习使用nmap进行端口扫描,探测目标系统的开放端口。
    10. 子域名暴破.mp4: 演示子域名爆破的技术,发现目标系统的子域名。
    11. web 网站目录扫描.mp4: 学习使用目录扫描工具,探测Web站点的目录结构。
    12. CMS系统指纹识别.mp4: 演示如何进行CMS系统的指纹识别,识别目标站点所使用的内容管理系统。
    13. Kali漏洞利用.mp4: 学习Kali Linux中的漏洞利用技术,实践渗透测试。
    14. 漏洞数据库和漏洞扫描(上).mp4: 介绍漏洞数据库和漏洞扫描的基本概念和上半部分的相关知识。
    15. 漏洞数据库和漏洞扫描(下).mp4: 继续介绍漏洞数据库和漏洞扫描的相关知识,下半部分的内容。
    16. msf 反弹连接获得shell.mp4: 演示使用Metasploit框架进行反弹连接,获取对目标系统的shell控制权。
    17. Burp Suite 暴破web密码.mp4: 学习使用Burp Suite进行Web密码暴力破解,测试Web应用的安全性。
    18. Hydra 暴破SSH密码.mp4: 演示使用Hydra工具进行SSH密码暴力破解,测试SSH服务的安全性。
    19. Kali渗透实战答疑.mp4: 对Kali渗透实战的问题进行答疑,帮助学习者解决实际应用中的疑问。
    20. 网络安全大事件回顾.mp4: 回顾网络安全领域的一些重大事件,增进学习者对行业动态的了解。
    21. HVV问题答疑.mp4: 对HVV(HTTP Verb Vulnerability)问题进行答疑,解决学习者在此方面的疑问。
    22. SRC漏洞挖掘分析.mp4: 对SRC漏洞挖掘进行分析,帮助学习者理解漏洞挖掘的过程和技术。

    本文地址:https://www.xxdis.com/share/video_course/2467.html

  • CTF-Web篇从入门到精英视频教程

    CTF-WEB介绍

    CTF Web是Capture The Flag比赛中专注于Web安全领域的一类竞赛。在CTF Web中,参与者需要解决与Web应用程序相关的安全挑战。这包括对网站、Web服务器、数据库和前端技术等方面的攻击和防御。

    视频内容

    1. 《CTF的过去篇》: 探讨过去的CTF(Capture The Flag)比赛发展历程和经验。
    2. 《CTF的现在篇》: 分享当前CTF比赛中的趋势、挑战和技术焦点。
    3. 《CTF的未来篇》: 探讨CTF未来的发展方向和可能的演变。
    4. 《了解HTTP网络协议》: 提供关于HTTP网络协议的基础知识。
    5. 《Linux必备系统命令》: 学习Linux系统中的基本命令操作。
    6. 《Windows 必备系统命令(一)》: 探讨Windows系统中的一些必备命令。
    7. 《Windows 必备系统命令(二)》: 继续介绍Windows系统中的关键命令。
    8. 《数据库必备基础操作》: 学习数据库基础操作的重要性和技术。
    9. 《Metasploit使用基础》: 介绍Metasploit渗透测试工具的基本用法。
    10. 《python 语言基础(一)》: 学习Python编程语言的基础知识。
    11. 《python语言基础(二)》: 进一步深入Python编程语言的学习。
    12. 《第9课时-PythonRequests模块学习》: 学习Python中的Requests模块。
    13. 《信息收集篇》: 探讨网络安全中的信息搜集技术。
    14. 《SQL注入篇》: 深入了解SQL注入攻击和防御。
    15. 《XSS》: 学习跨站脚本(XSS)攻击的原理和防范方法。
    16. 《文件上传篇》: 探讨文件上传漏洞及相关安全措施。
    17. 《文件包含》: 学习文件包含漏洞的原理和防范。
    18. 《webshell使用篇》: 理解和使用Webshell的基础知识。
    19. 《命令代码执行篇》: 学习命令代码执行漏洞的攻击和防御。
    20. 《实验环境准备》: 为网络安全实验做准备的指导。
    21. 《SSH私钥泄露》: 探讨SSH私钥泄露的风险和应对方法。
    22. 《SSH服务测试》: 学习如何测试和保护SSH服务。
    23. 《SMB信息泄露》: 研究SMB(Server Message Block)信息泄露问题。
    24. 《FTP服务后门利用》: 掌握利用FTP服务后门的技术。
    25. 《SQL注入get型》: 深入了解基于GET请求的SQL注入攻击。
    26. 《SQL注入POST参数以及注入报文》: 学习基于POST参数和注入报文的SQL注入。
    27. 《SSL注入》: 探讨SSL注入攻击的原理和应对方法。
    28. 《目录遍历》: 学习目录遍历漏洞的攻击手法。
    29. 《暴力破解》: 探讨密码暴力破解的原理和防范。
    30. 《命令执行》: 学习命令执行漏洞的攻击与防范。
    31. 《命令注入》: 深入了解命令注入攻击的原理。
    32. 《综合测试》: 进行综合性的安全测试。
    33. 《课程总结》: 总结整个课程内容,回顾所学知识。

    本文地址:https://www.xxdis.com/share/video_course/2457.html

  • 企业级Vmware vSphere 7.0配置实战视频教程

    《企业级Vmware vSphere 7.0配置实战视频教程》为您提供深入而实用的虚拟化解决方案。通过这个视频教程,您将深入了解如何在Vmware vSphere 7.0环境中进行配置,以满足企业级需求。

    教程内容包括从基础到高级的配置步骤,涵盖了虚拟机创建、存储管理、网络设置、安全性和性能优化等方面。每个步骤都经过详细演示,使您能够轻松跟随学习,快速上手。

    通过本实战视频教程,您将掌握以下关键技能:

    • 搭建稳定的Vmware vSphere 7.0环境;
    • 虚拟机的高效创建和管理;
    • 存储资源的优化配置;
    • 网络设置与虚拟网络的建立;
    • 提升系统安全性的关键步骤;
    • 性能调优技巧与最佳实践。

    无论您是初学者还是有经验的专业人士,这个实战视频教程都能够为您提供实用的技能和知识,助您在企业级Vmware vSphere 7.0环境中取得成功。通过学习配置实例,您将更加自信地应对各类虚拟化挑战,提升IT管理水平,为企业的数字化转型提供强有力的支持。

    本文地址:https://www.xxdis.com/share/video_course/2446.html

  • 思维导航:25种成功思维模式,助你在人生航道中破浪前行

    思维目录

    1. 筛选思维:随意选择的人生,不值得一过
    2. 赛点思维:小机会随便错过,大机会死命抓住
    3. 战略思维_ 学会放弃,做无情的优先排序者
    4.借势思维:框架大于勤奋,所有成长均需借势
    5. 原力思维:你学得了别人勤奋,但学不了动机
    6. 成本思维:最聪明的人不只看钱,一切皆有性价比
    7. 利他思维:所有伤害都相互的,所有利他都是利己的
    8. 多维思维:为啥我比你强很多,但赚得比你少很多
    9. 专注思维:只有专注,才能同时做好很多事
    10. 变量思维:同体量竞争,找到变量的人赢
    11. 真实思维:没有真实反馈,就没有增强回路
    12. 结果思维:拿不到结果的高效,是最大的懒惰
    13. 激励思维:人被什么所激励,就会为什么去卖命
    14. 复利思维:知之者大赚,不知之者被赚
    15. 环境思维:人是环境的产物,你必须持续优化环境
    17. 动态思维:你看见的都是静态的,判断都应是动态的
    16. 迭代思维:用鲁莽定律开局,用迭代思维持续行动
    18. 长期思维:越对未来有信心,越对当下有耐心
    19. 周期思维:没人能持续跨越周期,普通人永远都有新机会
    20. 投资思维:别沉迷能赚钱的当下,失去更值钱的未来
    21. 市场思维:不是成本决定价格,而是价格决定成本
    22. 品牌思维:一个人审视自己行为的底层逻辑
    23. 作品思维:做任何事情,都要积累代表作
    24. 写作思维:个人能力封装成内容产品,10倍财富增长
    25.实战思维:人生所有的美好结果,都不会自然发生

    本文地址:https://www.xxdis.com/share/video_course/2269.html

查看更多

交换云生

始于1908

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫