URWB接入点存在严重漏洞

信用 Ken Wolter / Shutterstock

关键要点

Cisco的URWB硬件存在缺陷，可能允许攻击者通过特制的HTTP请求劫持接入点的网页界面。漏洞编号为CVE202420418，影响三款产品。只有在运行有漏洞的软件并开启URWB模式时，接入点才会处于易受攻击状态。此漏洞源于Web管理界面对输入的无效验证，攻击者可利用该漏洞执行非授权命令。Cisco建议用户通过软件补丁修复该漏洞，没有可用的临时解决方法。

Cisco的超可靠无线回传URWB硬件被发现存在一个难以忽视的漏洞，该漏洞可能允许攻击者通过特制的HTTP请求劫持接入点的网页界面。该漏洞被识别为CVE202420418，影响以下三款产品：

Catalyst IW9165D重型接入点Catalyst IW9165E坚固型接入点及无线客户端Catalyst IW9167E重型接入点

然而，只有当接入点运行的是存在漏洞的软件并处于URWB模式下时，才会受到影响。Cisco指出，管理员可以通过使用show mplsconfig命令确认URWB模式是否正在运行。如果此模式被禁用，该设备将不受影响。使用非URWB的其他Cisco无线接入点产品则不受影响。

关于该漏洞的具体情况：

“该漏洞是由于Web管理界面未对输入进行适当的验证。攻击者可以通过向受影响系统的Web管理界面发送特制的HTTP请求来利用此漏洞。” Cisco在其公告中说明。

“成功利用该漏洞的攻击者可能能够在受影响设备的操作系统上以root权限执行任意命令。”

换句话说，这将导致完全的系统妥协。此类漏洞在公共弱点枚举CWE数据库中标识为第77号，亦称为“命令注入”。这很重要，因为就在今年7月，CISA曾警告有关这类漏洞的危害。

CISA表示：“操作系统命令注入漏洞的出现是因为制造商未能适当验证和清理用户输入，以便构建要在底层操作系统上执行的命令。”该组织呼吁制造商通过采用安全设计的原则来避免此类问题，间接表达这些错误不应再发生。

URWB接入点的用户

URWB产品系列是一家用于工业或户外环境的坚固型接入点。支撑URWB的技术是在2020年通过收购意大利公司Fluidmesh Networks而获得的。

URWB模式使接入点可以在原本难以保障的环境中，支持高速度、可靠且低延迟的无线连接。

在2021年关于该技术的博文中，Fluidmesh Networks的联合创始人及前CEO Umberto Malesci 列举了多个使用该技术的例子，包括在法国的快速移动列车上实现1000台IP摄像头网络的用例、在马耳他的港口起重机的无线控制，以及支持意大利米兰无人驾驶地铁的基础设施。

快喵加速器下载安卓

“想象一下，在火车、地铁、公共交通、矿山或港口上远程监测和控制移动资产。如果在查看电子邮件时有几个数据包丢失，没人会注意到。相反，当你远程控制起重机或自动驾驶车辆时，丢失数据包可能会产生严重后果，”Malesci写道