Cisco多个产品TACACS+访问认证绕过漏洞

第第页Cisco多个产品TACACS+访问认证绕过漏洞Cisco多个产品TACACS+访问认证绕过漏洞

发表于：2023-06-23来源：：点击数：标签：

信息提供：安全公告（或线索）提供热线：51cto.editor@漏洞类别：拒绝服务攻击攻击类型：远程攻击发布日期：2023-02-15更新日期：2023-02-16受影响系统：CiscoGuard5.0(3)CiscoGuard5.0(1)CiscoTrafficAnomalyDetector5.0(3)

信息提供：

安全公告（或线索）提供热线：51cto.editor@漏洞类别：

拒绝服务攻击攻击类型：

远程攻击发布日期：

2023-02-15更新日期：

2023-02-16受影响系统：

CiscoGuard5.0(3)

CiscoGuard5.0(1)

CiscoTrafficAnomalyDetector5.0(3)

CiscoTrafficAnomalyDetector5.0(1)安全系统：

CiscoGuard5.1(4)

CiscoTrafficAnomalyDetector5.1(4)

漏洞报告人：

GerritWenig

漏洞描述：

BUGTRAQID:16661

CiscoGuard和CiscoTrafficAnomalyDetector设备都是缓解分布式拒绝服务（DDoS）攻击的设备，可以检测是否存在潜在的DDoS攻击，并转移流向所监控网络的攻击流量而不会影响合法通讯流。

CiscoGuard和CiscoAnomalyTrafficDetector对访问认证处理上存在漏洞，在某些情况下，攻击者可以绕过访问认证，获取非授权访问权限。

如果CiscoGuard和CiscoAnomalyTrafficDetector设备配置为使用外部TACACS+服务器对登录到设备的用户进行认证，而tacacs-serverhost命令没有指定实际的TACACS+服务器，则可以绕过认证。绕过认证用户可得到的权限取决于登录所使用的帐号类型，以及设备上是否存在帐号，情况如下：

*使用不存在的帐号：用户只能执行show命令

*使用已有的本地帐号：用户可获得正常给予该帐号相同的权限

*使用已有的Linux帐号：用户可访问基础Linuxshell

此外，如果通过aaaauthenticationenabletacacs+命令对TACACS+服务器执行enable认证且没有通过tacacs-serverhost命令指定实际的TACACS+服务器的话，用户还可以绕过enable命令的认证。

请注意仅在缺少tacacs-serverhost命令的情况下设备才存在漏洞。如果存在这条命令则即使服务器的IP地址不正确，或无法到达TACACS+服务器，设备也没有漏洞。

测试方法：

无

解决方法：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

*通过tacacs-serverhostIPaddressofTACACS+server命令指定TACACS+服务器，完成TACACS+认证配置。

厂商补丁：

Cisco

Cisco已经为此发布了一个安全公告（cisco-sa-20230215-guard）以及相应补丁:

cisco-sa-20230215-guard：TACACS+AuthenticationBypassinCiscoAnomalyDetectionandMitigationProducts

链接：/warp/public/707/cisco-sa-20230215-guard.shtml

补丁下载：

CiscoGuard设备软件下载位于

/pcgi-bin/tablebuild.pl/cisco-ga-crypto

CiscoTrafficAnomalyDetector设备软件下载位于

/pcgi-bin/tablebuild.pl/cisco-ad-crypto

CiscoCatalyst6500交换机/Cisco7600路由器的CiscoAnomalyGuard模块软件下载位于

/pcgi-bin/tablebuild.pl/cisco-agm-crypto

CiscoCatalyst6500交换机/Cisco7600路由器的CiscoAnomalyTrafficDetec