思科路由器发现重大漏洞,解决方法是……

这篇具有很好参考价值的文章主要介绍了思科路由器发现重大漏洞,解决方法是……。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

晚上好,我是老杨。

思科知名度高,待遇也好,很多网工心生向往,也有很多人考过思科认证的相关证书,对思科的印象还是不错吧?

而且,作为美国著名的网络设备厂商,思科是全球路由器巨头,很多企业使用的关键路由器都离不开思科系列产品。

毕竟好用,还有知名度,用起来,工作高效便捷不说,客户也更有信任感,何乐而不为?

但是在上个月,思科官方发现旗下路由器产品出现严重技术漏洞,引发了不小的关注。

具体发生了啥,今儿和你说道说道。

今日文章阅读福利:《 cisco路由器配置(实战篇) 》

思科路由器发现重大漏洞,解决方法是……

私信老杨,发送暗号“思科”,即可获取此份思科官方教材资源,进一步提升你的技术视野。

01 思科又出漏洞?这可不是第一次了

思科路由器发现重大漏洞,解决方法是……

1月11日,思科发现其SMB(中小型企业)路由器中存在两个严重的漏洞(CVE-2023-20025和CVE-2023-20026),可导致未认证攻击者完全控制目标设备,以root权限运行命令。

但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。

思科RV系列中小企业路由器的所有软件版本,皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响。

CVE-2023-20025是RV系列路由器(RV016、RV042、RV042G和RV082)上网页管理界面的漏洞,可让未经身份验证的远程攻击者,绕过装置上的身份验证。

造成该漏洞的原因是系统未适当地对用户输入进行验证,攻击者可以通过网页管理界面,发送经过设计的HTTP请求利用该漏洞,以成功绕过身份验证获得底层操作系统的根访问权限。

另外CVE-2023-20026则是一个路由器远程命令执行漏洞,该漏洞同样发生在网页管理界面,可允许经过身份验证的远程攻击者,在受影响的装置上执行任意命令。

由于系统对传输http封包中的用户输入验证不当,因此可能允许攻击者获得根权限,并且访问未经授权的数据,但攻击者要利用该漏洞,需要先获得设备上有效的管理凭证。

思科在公告中指出:“因为已过产品生命周期,思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。”

目前,管理员只能停用远程管理,并且封锁对接口口443和60443的访问来缓解漏洞,实行这些缓解措施后,管理员仍然可以透过LAN接口访问路由器。

相关研究人员指出,尽管这些路由器已经停产,但这些设备现有的安装基数仍然很大。

过时的设备仍在商业环境中长期使用的情况并不少见,而更换设备才是充分保护企业业务的最佳方案。

思科路由器发现重大漏洞,解决方法是……

要知道,这不是第一次发生这种事情。

去年9月,思科RV系列路由器被发现存在零日安全漏洞,但思科明确拒绝修复漏洞,建议用户买最新的产品。

据报道,当时涉及安全问题的是思科面向中小企业推出的VPN路由器,涉及RV110W、RV130、RV130W 和 RV215W系列,出现的漏洞编号为CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O),与密码验证算法错误有关,使得攻击者可以应用专门准备的凭据连接到VPN路由器。

根据思科所说,这个漏洞可以让攻击者绕过身份验证,并获得IPSec VPN访问权限,甚至可以达到网络管理员同样的权限,具体要取决于应用的凭据。

对思科来说,发现安全漏洞但明确不予修复的例子也不是一次两次了,这次涉及的RV系列路由器前年8月就被发现过漏洞,思科当时也是不打算修复,去年6月份又发现了另外的漏洞,思科的态度依然是不管,只建议用户升级到最新产品。

换新设备,才是解决漏洞的究极出路。当然,也有一些同行出了不同的声音:

“如果思科提前放弃软件支持,到 2025 年的硬件支持有什么意义?”

“举个例子,门锁很容易受到攻击,有人撬锁的话,门锁厂商都应该被罚款吗?”

“对于安全产品,我希望至少 15 年内得到全面支持。由于思科对安全问题的漠视,我认为是时候放弃他们的产品了,应该去支持那些不会让换新设备以解决问题的企业。”

“有些2016年就停售,2022年初就彻底停止支持了。你买哪个产品能管你一辈子啊?”

“我从事网络工作大约 20 年,还没有听说过任何供应商/产品在销售结束后能提供 15 年的支持,最多也就5年左右。”

对此,你怎么看?

02 思科路由器故障可咋整?

当然,虽然思科路由器的漏洞一直陆续出现,但并不是你路由器故障的主要原因。

这里分享三个思科路由器的故障的场景,以及对应场景下的处理思路,欢迎收藏转发给更多同行朋友们。

01 不堪重负,路由器外网口关闭

1. 网络环境

某单位使用的是Cisco路由器,租用电信30MB做本地接入和l0MB教育网双线路上网,两年来网络运行稳定,路由器也没有发生故障。

随着网络用户数量增加,原来电信30MB已不能满足需要,于是决定租用电信100MB来解决带宽问题。电信采用光纤接入到单位机房后,使用百兆光电转换器经转换后通过双绞线接到路由器外网口上面,该路由器使用是千兆电口作为外网口,由于光电转换器只有100MB,该端口连接后速度显示100MB。

2. 外网端口流量为零

经过几天的运行,管理员发现每天当路由器外网口流量超过50Mbps/s后,该端口就会出现“Receive Errors” ,流量超大,错误信息很多。

然后外网不能上了,Telnet到路由器上面,发现电信对应的外网口没有流量,显示状态为UP,路由器上其他端口工作正常。第一反映是电信的那边出现问题了,是电话通知电信那边查检一下,对方很快回应说没有什么问题,并询问是否光电转换器死机了。

于是管理员将光电转换器重启后,故障依然。没有办法,只好将路由器重启一下,故障排除。但是过了不到一个小时,故障又重现。

Telnet到路由器后将该外网口执行shutdown和undo shutdown后,故障排除。谁知,将所有有关病毒的安全策略应用到该端口,将tcp mss修改为2o48(厂商默认1460),故障依然出现。

3. 故障分析

管理员发现在故障发生时,CPU显示23%,Memory为33%,不算太高,关键是其他接口都正常工作,看样子问题还是出现在这个端口上面。可这个端口已用了两年了,升级扩容以前没有出现端口不能正常通讯的情况,端口硬件应该是有什么问题。

通过网管软件对端口关闭前的流量检测,发现该端口关闭前有很大的流量通过(超过80Mbps/s) ,显示端口的错误信息也比较多。通过分析得知应该是网络流量太大,利用率过高所致。

流量超过80%后,造成端口不能正常。如果该端口能工作千兆模式下,100MB带宽仅利用该端口10%,这样端口可以轻松处理。

4. 解决方案

在找到症结后,推荐的解决方案是购买千兆光电转换器代替原来的百兆设备,而且价格也比较便宜。但为了保证网络运行的稳定性,该单位决定直接购买一个千兆光口路由模块,直接利用光纤进行通讯,减少网络延时。

电信则通过端口限速来控制保证提供百兆带宽。通过一段时间运行,发现该端口除了有少量错误信息外,再没有出现过端口无故关闭情况。

如果看完,你觉得想要深入学习交换机技术,又苦于无从下手,十分茫然,也欢迎私信老杨,咨询学习规划详情。

02 路由器为何发包失败

在路由器的配置过程中,经常会碰到这样的问题:网络通信正常,路由器可以成功路由数据包到目标网络,但是从路由器发的数据包却传送失败,故障表现为路由器ping目标网络失败,下面就是一个典型的案例。

1. 现象描述

某单位的网络配置完成后,管理员在测试网络连通性时发现:从PC机(6.159.245.195) 向目标网络(6.159.245.65/26)发送Ping时,路由器R1可以成功转发数据包,然而从R1向目标网络(6.159.245.65/26) 发送ping时,出现ping失败。

2. 排错过程

首先,跟踪ping所经过的路径。检查R1的路由表,目标地址6.159.245.65可以与路由表中0.0.0.0/0相匹配。检查R2、R3、R4的路由表,均可以发现与目标地址匹配的路由表项。

然后,跟踪ICMP回应应答数据包所经过的路径。为完成这一步骤,要明确回应数据包的源地址,PC发送ping时,回应应答数据包的目标地址就是6.159.245.195。而路由器R1发送ping时,回应应答数据包的目标地址就是71.170.0.146。

对照R4的路由表,发现与 6.159.245.195匹配的路由表项,而未发现与目标地址71.170.0.146相匹配的路由表项。

看来,ICMP的回应应答数据包在R4处理时被丢弃了,所以从R1向目标网络R4(6.159.245.65/26) 发送ping时,出现pmg失败。

3. 解决办法

在路由器R4上增加一条指向71.170.0.144/30的静态路由,下一跳的地址为71.170.0.214。完成后,在R1向R4发送ping时,发现一切正常了。

此类网络故障尽管不会影响网络的正常通信,排除的过程也很简单,但网络故障的分析与排除时,我们要考虑完整的通信过程。

03 艰难的Cisco路由器IOS升级之旅

某学校从2003年开始建设校园网,近年来上网人数不断增加,使原来的Cisco 2621已经远远不能满足网络的需求。而且最近要上0A办公系统,需要增加一台VPN设备,用于校外用户对校内0A系统的访问。

出于经济上的考虑,他们想通过升级闲置的Cisco 2621路由器来做VPN。不过,在升级IOS的过程中遇到一些问题。

1. 超级终端登录出现乱码

从机房的仓库里拿出路由器,通电。通过Console口连上去,发现超级屏幕出现了一些乱码。会不会是Consol口坏了?

分析认为Cisco设备如果出现Console口坏了,一般会在超级终端屏幕上不断输出很多的乱码。但是这回出现的却是输入回车键后,才在屏幕上出现乱码,可能是每秒传输速率不对。

管理员将默认值9600更换为l15200。路由器启动成功。路由器启动完后,用show run确实发现Console的速率为l15200。

2. 内存不够升级失败

要升级的这台Cisco2621路由器带有VPN的功能。原来的IOS版本为C2600-i-mz.122-8.T4.bin。从网上得知 Cisco 2621只有K8、K9系列的IOS才能支持VPN。

于是管理员从网上下载新的IOS c2600-ik9o3s3-mz.123-22.bin,大小为15MB。

升级过程如下:

(1)配置路由器Interfast 0/0的IP地址,先用“copy flash:tftp”把原来的IOS备份出来,并通过“copy tftpd flash” 命令上传。

(2)重新启动路由器,发现如下的提示错误,大意是没有足够的内存运行IOS:

Error:memory requirements exceed available memory Memory required:0x0284A0BC

在Cisco官方网上查询,发现c2600-ik9o3s3-mz.123-22.bin这个10s镜像要求路由器的内存为 64MB,Flash为16MB。从上面的启动信息可以看出,这台路由器的内存为32MB,当然启动不起来了。

后来在网上购买了一条l28MB的内存换上去,加大内存后,启动路由器成功。

3. 在ROM模式下通过TFTP上传IOS效验失败

由于路由器IOS升级失败,所以想恢复原来的IOS。Cisco IOS升级失败后,恢复IOS的方式有两种:FTP和Xmodem。TFTP的传输速度快一些,Xmodem的传输速度比较慢。

在R0M模式下,用TFTP上传IOS,过程如下:

(1)在interfast 0/0配置IP地址,配置完后用set命令查看。默认情况下,在R0M模式下配置的IP地址是在interfast 0/0下的,所配置的IP地址应该要与TFTP服务器在同一个网段内。

(2)用tftpdnld方式下载,TFTP ServerMg开始时用Cisco的TFTP,但传输一半就超时。

用3Cdaemon传输完后,发现如下的警告:

TFTP flash C0PY:Warning,ChecksSum comparison failed. 重启路由器,路由器无法启动,提示IOS效验错误。

原想可能是IOS下载时出现错误,但是重新下载了c2600-ipbase-mz.123-6c.bin还是不行,看来不是IOS的问题。后来更换了网线TFTP软件还是不行。

4. 解决办法

用Xmodem来传。为了使传输速度快点,我们应该修改Xmodem的传输速度为ll5200。IOS通过Xmodem传输完后,重启路由器,路由器已经可启动。

(1)在用TFTP上传IOS时,如果提示效验错误,就应该考虑采用Xmodem方式上传。

(2)TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。

(3)在用Xmodem上传IOS时,最好采用Windows自带的超级终端。

(4)TFTP (Trivial File Transfer Protoco1)文件传输协议最大就支持传输32MB的文件。如果IOS大于32MB时,可以考虑采用第三方的TFTP软件,如3Cdaemon。

整理:老杨丨10年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部文章来源地址https://www.toymoban.com/news/detail-412705.html

到了这里,关于思科路由器发现重大漏洞,解决方法是……的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 思科路由器怎么进入?Linksys进入登陆页面的方法图解

    Linksys路由器怎么进入?这是很多思科路由器用户经常问到的一个问题。与其他品牌路由器一样,思科路由器进入设置也包括基本的安装与打开默认登陆地址两个部分,下面详细了解下。 思科路由器怎么进入? 要进入思科路由器设置需要满足2个条件: 一是,思科路由器与电

    2024年02月08日
    浏览(36)
  • 思科路由器IP源地址的攻击的解决方案

      一、在UDP flooding中,攻击者则是通过连接目标系统的changen端口到伪造源地址指向的主机的echo端口,导致changen端口产生大量的随机字符到echo端口,而echo端口又将接收到的字符返回,最后导致两个系统都因耗尽资源而崩溃。 二、为了防御UDP flooding,我们必须防止路由器的诊

    2024年02月05日
    浏览(88)
  • 普联路由器无线网的漏洞堵住方法

    随着无线网络在生活中的广泛应用,几乎每一个家庭都会使用无线网,随之而来的安全问题也暴露出来,例如越来越严重的蹭网问题,我们要怎样才能解决这个问题呢,下面我们就以普联路由器为例给大家全面分析一下。   一、无线网络的使用已经越来越成熟,但是出现的无

    2024年02月05日
    浏览(61)
  • 思科路由器的密码忘记了用简单的命令来重置思科路由器密码

    思科现在是全球最大的交换路由生产厂商了!我们很多的企业,不管大小都有可能用到网络,也就有可能使用到思科的交换路由了!我们用安装网络设备的时候可能是请网络工程师来帮我们安装的!进入路由器就有很多的密码!如果说我们把这些密码忘记了,怎么办?当我们公司需

    2024年02月07日
    浏览(44)
  • 思科路由器——静态路由超级详细

    提示:在本博客中没有提及硬件相关的知识,关于路由器的硬件知识我会在做一个博客来进行介绍。 提示:如果是新手,可以帮助理解。 静态路由有点像一个需要手动开关的灯,静态路由英文名Static routing 其中Static在这里的意思是静止的,在这里可以理解成手动,每一次开

    2024年02月02日
    浏览(41)
  • 思科路由器 RIP 动态路由配置

    一、实验目的 掌握RIP 协议的配置方法: 掌握查看通过动态路由协议 RIP 学习产生的路由; 熟悉广域网线缆的链接方式; 二、实验原理 RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普遍的IGP内部网管协议,使用于小型同类网络,是距离矢量协议; RIP协议跳数

    2024年02月03日
    浏览(83)
  • 思科路由器配置笔记

      目录 思科路由器配置笔记 路由基本配置 配置静态路由 OSPF 动态路由 实战:配置RIP企业环境 路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号,路由器工作在网络层,用来跨网段通信,路由器具有判

    2024年02月10日
    浏览(49)
  • 思科-路由器的命令

    目录 一、环境 二、路由器的配置 思科安装: 思科模拟器Cisco Packet Tracer 7.3.0安装配置_victor_王泽华的博客-CSDN博客   为3层端口配置IP: int f0/0   ip add 192.168.1.1 255.255.255.0   no shut   exit 开启远程控制: conf t line vty 0 4   transport input telnet/ssh/none/all   password  密码   login  

    2024年02月11日
    浏览(30)
  • 思科路由器配置

    1.路由表:show IP route 用户模式 特权模式 enable 全局配置模式 #configure terminal (config)# 配置主机名称 enable #configure terminal (config)#hostname test-router 配置系统时钟: enable #calendar set 12:00:00 30 may 2022 配置超级用户口令 enable #configure terminal (config)#enable secret 11111 配置用户明文密码

    2024年02月09日
    浏览(42)
  • 思科路由器基本配置

    CSDN话题挑战赛第2期 https://marketing.csdn.net/p/7b6697fd9dd3795a268d1a6f2fe75012 参赛话题: 学习笔记 https://activity.csdn.net/creatActivity?id=10213 目录          一、用户模式 二、特权模式 三、全局模式 (global config mode) 四、子模式 (sub-mode) (1)接口模式(interface mode) (2)线路模式 (line

    2024年02月04日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包