Куда я попал?
BDU:2023-06410
CVSS: 8
27.10.2022
Уязвимость функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) и функции сервера SCP операционных систем Cisco IOS и Cisco IOS XE, позволяющая нарушителю обойти ограничения безопасности и получить или изменить конфигурацию уязвимого устройства
Уязвимость функции аутентификации, авторизации и учета (Authentication, Authorization and Accounting - AAA) и функции сервера SCP операционных систем Cisco IOS и Cisco IOS XE связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить или изменить конфигурацию уязвимого устройства
| Статус уязвимости: |
Подтверждена производителем
Уязвимость устранена
|
| Дата выявления: | 27.10.2022 |
| Класс уязвимости: | Уязвимость архитектуры |
| Наличие эксплойта: | Данные уточняются |
| Способ эксплуатации: | Данные уточняются |
| Способ устранения: | Нет данных |
| Меры по устранению: | Использование рекомендаций: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-aaascp-Tyj4fEJm Компенсирующие меры: 1. Включите проверку авторизации команд с уровнем привилегий 0; 2. Чтобы заставить сервер AAA проверять команды сервера SCP, используйте команду конфигурации: aaa authorization commands 0 и настройте соответствующую политику команд, чтобы запретить пользователю использовать команды сервера SCP; 3. Чтобы разрешить или запретить загрузку или выгрузку файлов через SCP, добавьте фильтры в конфигурацию AAA для команд scp -f и scp -t . Или: 1. Отключите функциональность SCP-сервера с помощью команды конфигурации: no ip scp server Enable с целью запрета на копирование изображений или конфигураций на маршрутизатор или с него. |
Идентификатор типа ошибки
Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
| Идентификатор | Описание |
|---|---|
| CWE-264 | Уязвимость в управлении доступом, привилегиями и разрешениями |
| CWE-285 | Некорректная авторизация |
| CWE-287 | Некорректная аутентификация |
Идентификаторы CVE уязвимостей
Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
| Идентификатор | Описание |
|---|---|
| CVE-2023-20186 | A vulnerability in the Authentication, Authorization, and Accounting (AAA) feature of Cisco IOS Software and Cisco IOS XE Sof... |
CVSS
Система общей оценки уязвимостей
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 7.1 | HIGH | 2.0 | AV:N/AC:H/Au:S/C:C/I:C/A:C |
| 8 | HIGH | 3.0 | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
Идентификаторы других систем описаний уязвимостей
CVE-2023-20186
| Вендор: |
|
| Тип ПО: |
|
| Наименование ПО: |
|
| Версия ПО: |
|
| ОС и аппаратные платформы: |
|
| Ссылки на источники: |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.