思科改善Policy Suite存取權控制失誤與預設帳密缺失
- 發布單位:TWCERT/CC
- 更新日期:2019-04-02
- 點閱次數:416
CVE編號
CVE-2018-0374 CVE-2018-0375 CVE-2018-0376 CVE-2018-0377
內文
●概述:
思科開發次世代策略管理方案Policy Suite,能根據用戶存取規則、網路狀態、程式資源,進行即時管理,檢測結果發覺4項弱點,視作嚴重等級,其中一組程式Cluster Manager因內建預設帳密,可藉此以root身分登入;另外囿於存取權限控管欠妥,衝擊Policy Builder之資料庫與介面,駭客得以修改資料庫內容,並異動新建repository;而Open Systems Gateway initiative (OSGi)介面亦因存取控制失當,OSGi程序所能觸及檔案皆有篡改之虞,上述漏洞均損及資料完整性,Cisco已釋出改良版本供下載。
●編註:
(1)存取控制失當
在Policy Suite中,有三個組件出現存取權限控管瑕疵,致使遠端未認證身分用戶,無須驗證帳密,即可直接連線存取,攻擊者藉此入侵模式,能進入Policy Builder database並恣意修改資料;也可循Policy Builder 介面變更或創建repository;或者透過Open Systems Gateway initiative (OSGi)去寫入任何OSGi程序所能觸及之檔案。
(2)預設帳密缺失
Policy Suite之叢集管理器Cluster Manager,內建一組預設固定帳密憑證,雖未記錄於技術文件,但此資訊流入駭客手中,能逕以root身分登入Cluster Manager程式,威脅系統安全。
影響產品
Policy Suite Policy Suite
解決辦法
授權用戶參考https://software.cisco.com/download/home ,按下Click Browse all,依序展開Navigate to Wireless -> Mobile Internet -> Policy Suite for Service Providers -> Policy Suite for Mobile,從網頁左側選擇最新版Policy Suite。
相關連結
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-unaut
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-pspb-unauth-
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-ps-osgi-unau
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180718-policy-cm-de
- https://www.cisco.com/c/en/us/solutions/service-provider/mobile-internet/index.html#~stickynav=4
- http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201801-630
- https://cdn.slidesharecdn.com/ss_cropped_thumbnails/ciscoquantumpolicysuite-141112144637-conversion-