來源:TechWeb.com.cn
思科(Cisco)於8月4日晚,針對先前廣為人知的BootHole漏洞發布了安全公告。思科表示,目前而言,特定產品漏洞暫未有可用的解決辦法,但是思科正在調查其產品線,以確定哪些產品和雲服務可能受此漏洞影響。隨著調查的進行,思科將使用有關受影響的產品和服務的信息更新此通報。
BootHole漏洞
這裡,我們先回顧下BootHole漏洞。7月29日,安全研究員在GRUB2引導加載程序中發現了一個名為BootHole的嚴重漏洞(代號CVE-2020-10713)。該漏洞是由於從GRUB2配置文件解析的某些值的邊界檢查不正確造成的。攻擊者可以通過為GRUB2提供精心製作的配置文件來利用此漏洞。處理此文件時,可能會發生可利用的緩衝區溢出情況。成功的利用可能允許攻擊者注入在作業系統加載到目標系統上之前執行的任意代碼。在受統一可擴展固件接口(UEFI)安全啟動功能保護的系統上,利用此漏洞可能使攻擊者篡改安全啟動過程。
BootHole漏洞影響數百萬Windows和Linux系統 。該漏洞的規模如此之大,大多數筆記本電腦、臺式機、伺服器和工作站,以及用於工業、醫療保健、金融和其他行業的網絡設備和其他特殊用途設備都受到了影響。當然,思科也毫無例外,在此影響之列。以下是漏洞詳情:
漏洞詳情
此漏洞影響集成有漏洞的GRUB2引導程序版本的Cisco設備。引導加載程序是在系統啟動過程中執行的軟體。它由系統固件初始化,並執行加載作業系統所需的初始化。GRUB2從文本文件讀取其配置參數。受影響的GRUB2版本對從配置文件中解析出的特定值執行不正確的邊界檢查。
修改此配置文件的攻擊者(通過擁有對設備的管理特權或對目標系統的物理訪問權限)可以通過為GRUB2提供精心設計的配置文件來利用此漏洞。攻擊者可以利用此漏洞在受影響的系統的預引導環境中實現任意代碼執行。
目前已知的受影響產品如下:
1.思科雲服務路由器1000V系列
2.思科集成多業務虛擬路由器(ISRv)
3.思科身份服務引擎(ISE)
不受影響的產品:
1.網絡和內容安全設備
2.思科Firepower管理系統
3.路由和交換-企業和服務提供商
4.思科1000系列網際網路格路由器
5.思科IR800系列集成多業務路由器(ISR)
正在調查的產品:
思科正在積極調查思科企業NFV基礎架構軟體(NFVIS),以確定它們是否受本通報中描述的漏洞影響。如果思科產品實施GRUB2引導加載程序的易受攻擊的版本並且不驗證GRUB2配置文件,則此漏洞會影響Cisco產品。
解決方案:
1.上述特定Cisco產品或服務的任何變通辦法將記錄在相關的Cisco Bug中,目前暫未有解決辦法,建議客戶隨時關注Cisco官網安全公告。
2.在考慮軟體升級時,建議客戶定期查閱Cisco產品的諮詢(可從Cisco Security Advisories頁面獲得),以確定暴露程度和完整的升級解決方案。在所有情況下,客戶都應確保要升級的設備包含足夠的內存,並確認新版本將繼續正確支持當前的硬體和軟體配置。如果信息不清楚,建議客戶聯繫思科技術支持中心(TAC)或他們的合同維護提供商。
文章來源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-grub2-code-exec-xLePCAPY#vp