概述

Cisco已识别出Cisco Network Building Mediator（NBM）产品中的多个安全漏洞。这些漏洞同样影响旧版的Richards-Zeta Mediator产品。

已识别的漏洞类型包括：默认凭据、权限提升、未经授权的信息拦截和未经授权的信息访问。成功利用其中任何一个漏洞都可能导致恶意用户完全控制受影响的设备。

受影响的产品

这些漏洞影响旧版的Richards-Zeta Mediator 2500产品以及Cisco Network Building Mediator NBM-2400和NBM-4800型号。所有Mediator Framework软件版本早于3.1.1的均受到本公告中列出的所有漏洞的影响。

影响

漏洞对单个组织的影响取决于许多特定于该组织的因素。ICS‑CERT建议各组织根据其环境、架构和产品实施情况来评估此漏洞的影响。

背景

Cisco Network Building Mediator从包括楼宇系统、IT系统、能源供应和能源需求系统在内的数据源收集数据，这些系统使用原本无法相互通信的不同协议。Cisco Network Building Mediator将数据规范化为通用的数据表示形式。此功能使得Cisco Network Building Mediator能够执行任意协议间的转换，并以统一的形式向最终用户提供信息。

漏洞特征

Cisco Network Building Mediator（NBM）产品中存在多个不同的漏洞。这些漏洞同样影响旧版的Richards-Zeta Mediator产品。

漏洞详情

默认凭据 – 总体CVSS评分 8.3

设备上为几个预定义的用户账户（包括管理员用户账户）分配了默认凭据。任何能够网络访问设备的用户都可以以管理员身份登录并完全控制存在漏洞的设备。

此漏洞可以远程利用，且需要身份验证，无需最终用户交互。成功利用此漏洞可导致攻击者完全控制易受攻击的设备。

攻击向量通过使用以下协议和端口的包实现：

• 安全外壳（SSH），使用TCP端口 22
• 超文本传输协议（HTTP），使用TCP端口 80
• 超文本传输安全协议（HTTPS），使用TCP端口 443
• 基于HTTP的可扩展标记语言远程过程调用（XML-RPC），使用TCP端口 81
• 基于HTTPS的XML-RPC，使用TCP端口 443。

此漏洞已分配CVE标识符 CVE-2010-0595。

权限提升 - 总体CVSS评分 7.4

此类别中的漏洞使得未经授权的用户能够读取和修改设备配置。恶意用户必须使用现有用户身份进行身份验证，但无需具备管理员权限或知道管理员凭据即可修改设备配置。这两个漏洞均可通过任一传输协议（HTTP或HTTPS）进行利用。

这些漏洞可以远程利用，且需要身份验证，无需最终用户交互。成功利用这些漏洞可导致攻击者读取和修改设备配置，或导致拒绝服务（DoS）状态，因为攻击者可以重新加载易受攻击的设备。重复尝试成功利用可导致重新加载易受攻击设备的漏洞，可能造成持续的DoS状态。

攻击向量通过使用以下协议和端口的包实现：

• HTTP，使用TCP端口 80
• HTTPS，使用TCP端口 443
• 基于HTTP的XML-RPC，使用TCP端口 81
• 基于HTTPS的XML-RPC，使用TCP端口 443。

这些漏洞已分配CVE标识符 CVE-2010-0596 和 CVE-2010-0597。

未经授权的信息拦截 - 总体CVSS评分 7.7

这些漏洞反映了操作员工作站与Cisco Network Building Mediator之间的会话未受保护以防止未经授权的拦截。能够拦截这些会话的恶意用户可以获取在拦截会话期间使用的任何凭据（包括管理员和非管理员），并可随后完全控制设备。

这些漏洞可以远程利用，无需身份验证，也无需最终用户交互。成功利用这些漏洞允许信息泄露，使得攻击者能够了解有关受影响设备的信息。

攻击向量通过使用以下协议和端口的包实现：

• HTTP，使用TCP端口 80
• 基于HTTP的XML-RPC，使用TCP端口 81

这些漏洞已分配CVE标识符 CVE-2010-0598 和 CVE-2010-0599。

未经授权的信息访问 – 总体CVSS评分 8.3

恶意用户可以读取其中一个系统配置文件。此配置文件包含用户账户详细信息，包括密码。读取此配置文件无需身份验证，攻击者可以通过XML RPC或基于HTTPS的XML RPC协议执行此攻击。

此漏洞可以远程利用，无需身份验证，也无需最终用户交互。成功利用此漏洞允许信息泄露，使得攻击者能够了解有关受影响设备的信息。

攻击向量通过使用以下协议和端口的包实现：

• 基于HTTP的XML-RPC，使用TCP端口 81
• 基于HTTPS的XML-RPC，使用TCP端口 443。

此漏洞已分配CVE标识符 CVE-2010-0600。

有关易受攻击、未受影响和已修复软件的更多信息，请访问位于以下网址的PSIRT安全公告：http://www.cisco.com/warp/public/707/cisco-sa-20100526-mediator.shtml（外部链接）。

缓解措施

Cisco已提供有关漏洞临时解决措施的信息；他们也已发布修复这些漏洞的免费软件更新。

临时解决措施

默认凭据 可以使用《Cisco Network Building Mediator用户指南》中描述的程序更改管理员凭据。该程序的详细信息在第2-10节“恢复Cisco Network Building Mediator密码”中给出。

权限提升 这些漏洞没有临时解决措施。

未经授权的信息拦截 以下临时解决措施仅适用于与HTTP协议相关的漏洞。对于影响XML RPC服务的漏洞，没有临时解决措施。

针对此漏洞的临时解决措施是禁用HTTP服务并使用HTTPS代替。HTTPS服务默认已启用并正在运行，无需进一步操作即可启用。HTTP服务可以通过configTOOL禁用。configTOOL是运行在操作员工作站上的软件，用于配置Cisco Network Building Mediator的多协议交换。

将此临时解决措施应用于软件版本1.5.1和2.2后，需要configTOOL版本3.1.0b1才能继续通过configTOOL配置Cisco Network Building Mediator。

要启动configTOOL，请双击桌面上的Cisco Network Building Mediator configTOOL快捷方式图标，或选择“开始”>“所有程序”>“Network Building Mediator configTOOL”。按照《Cisco Network Building Mediator用户指南》中描述的程序连接到Cisco Network Building Mediator，具体在第3-2节“使用configTOOL连接到Cisco Network Building Mediator”。在节点树窗格中，展开“服务”选项卡，然后展开“网络”选项卡。单击“http_server”选项卡，然后单击“已启用”以取消勾选。

未经授权的信息访问 此漏洞没有临时解决措施。

使用IP表限制访问 以下防护措施可以降低对Cisco Network Building Mediator的未经授权访问风险，并最小化本公告中描述的漏洞相关的风险。此缓解措施对未经授权的信息拦截漏洞无效，因为这些漏洞的利用不依赖于访问设备本身，而是依赖于拦截操作员控制台与Cisco Network Building Mediator之间的会话。

建议管理员在选择允许与Cisco Network Building Mediator建立连接的设备时保持选择性。以下规则将仅允许合法的操作员控制台与Cisco Network Building Mediator建立会话。执行以下命令必须在Cisco Network Building Mediator上拥有管理员权限。在以下示例中，假设操作员控制台的IP地址为192.0.2.1。必须将192.0.2.1地址更改为匹配指定操作员控制台使用的IP地址。

必须在控制台上输入以下代码。有关如何使用超级终端连接到串行端口的信息，请参阅用户指南第2.4节。

1
2
3
4
5
6
7

# 以下规则为INPUT规则链建立默认策略。
# 默认策略是丢弃所有包，除非它们被INPUT链中的规则明确允许。
iptables -P INPUT DROP
# 此规则将允许来自IP地址为192.0.2.1的操作员控制台的所有流量到Cisco NBM。
#
# 将192.0.2.1更改为匹配您的操作员控制台使用的IP地址。
iptables -I INPUT 1 --source 192.0.2.1 -j ACCEPT

注意：在应用上述示例中的规则时，必须注意允许访问由Cisco Network Building Mediator监视和控制的系统中部署的传感器和其他设备所使用的端口或协议。否则将破坏与这些传感器和设备的连接。

有关可在网络中Cisco设备上部署的其他缓解技术，请参阅本公告的配套文档《Cisco应用缓解公告》。

获取更新的软件

部署软件前，客户应咨询其维护提供商或检查软件的功能集兼容性及其环境特有的已知问题。

拥有服务合同的客户 拥有合同的客户应通过其常规更新渠道获取升级软件。对于大多数客户，这意味着应通过Cisco全球网站（http://www.cisco.com）上的软件中心获取升级。

使用第三方支持组织的客户 其Cisco产品通过先前或现有协议由第三方支持组织（如Cisco合作伙伴、授权经销商或服务提供商）提供或维护的客户，应联系该支持组织以获得有关本公告适当行动方案的指导和协助。

任何临时解决措施或修复的有效性取决于特定的客户情况，例如产品组合、网络拓扑、流量行为和组织使命。由于受影响的产品和版本多种多样，客户应在部署前咨询其服务提供商或支持组织，以确保任何应用的临时解决措施或修复最适合于预期的网络。

没有服务合同的客户 直接向Cisco购买但没有Cisco服务合同的客户，以及通过第三方供应商购买但无法通过其销售点获得已修复软件的客户，应通过联系Cisco技术支持中心（TAC）获取升级。TAC联系方式如下：

• +1 800 553 2447（北美境内免费电话）
• +1 408 526 7209（全球任何地方收费电话）
• 电子邮件：tac@cisco.com

客户应准备好其产品序列号，并准备好提供Cisco公告的URL作为有权获得免费升级的证明。非合同客户的免费升级必须通过TAC请求。

有关其他TAC联系信息，包括本地化的电话号码以及各种语言的使用说明和电子邮件地址，请参阅：http://www.cisco.com/en/US/support/tsd_cisco_worldwide_contacts.html（外部链接）。

报告

检测到与此公告相关的可疑活动的组织，鼓励向ICS-CERT报告以获取后续缓解建议以及跟踪和关联。在适当情况下，ICS-CERT能够提供额外的分析能力，包括现场事件响应和系统恢复。

组织应遵循其既定的内部程序来应对疑似事件。在采取防御措施之前，应进行适当的影响分析和风险评估。