【安全公告】关于某黑客利用锐捷网关EG、NBR部分型号远程代码执行漏洞下发恶意文件并发起内网攻击活动的说明

近日，锐捷网络收到CNVD（国家信息安全漏洞共享平台，China National Vulnerability Database，简称CNVD）发出的锐捷网络部分网关设备存在远程代码执行漏洞的通告（CNVD-C-2021-12252、CNVD-C-2021-08674 、CNVD-C-2021-09953、CNVD-2021-09512、CNVD-2021-09650、CNVD-2021-21527为同一个漏洞），发现有部分黑客在互联网上公布了我司EG和NBR设备老漏洞的利用代码和工具，开展网络攻击行动。

早在2020年5月7日，我们已发现此漏洞并完善相关处理措施及漏洞修补方案，，并通过官网第一时间发布该漏洞公告，详见：http://www.ruijie.com.cn/gy/xw-aqtg-zw/85638/ 。本着为客户负责的态度，我们再次发布此声明，建议您通过官网下载主程序进行漏洞修复，给您带来工作上的不便，致以深深的歉意。

一、漏洞说明

锐捷部分网关产品Eweb管理系统存在代码执行漏洞，攻击者利用前端代码获得访问权限或者在设备上有开启访客认证功能（部分版本存在）、本地服务器认证功能、投屏服务功能时，可对设备进行攻击。

二、影响范围

1、涉及软件版本：

11.1(6)B9P1及之后，11.9(4)B12P1之前的版本存在此问题。

2、涉及产品型号：

三、漏洞定级

该风险在设备开启eweb登录权限或开启相关功能后，攻击者可通过特殊的方式获取到设备的特权权限。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义，此漏洞等级为“高危”。

四、漏洞规避方案

1.限定内外网访问设备WEB页面（管理员除外）：

CLI：

Config

control-plane

security deny lan-web

security deny wan-web

security web permit 172.18.137.167（172.18.137.167此处设置为管理ip）

2.关闭本地服务器认证及投屏服务功能，确认页面上处于如下状态。

cli命令：

Config

no upnp-proxy enable //关闭投屏服务功能

no app-auth local-auth enable //关闭本地服务认证功能

no app-auth enable //关闭营销认证功能

no enable service web-server guest-auth

如果是具有办公认证功能的版本，请先升级到最新版本，并按照上述规避方案进行操作。

五、漏洞解决方案

下载11.9(4)B12P1及以上版本（推荐11.9(4)B12P3），对设备进行系统升级，版本获取链接：

● EG系列: https://www.ruijie.com.cn/fw/rj-first-2348/

● NBR系列：https://www.ruijie.com.cn/fw/rj-first-2357/

六、后续改善计划

锐捷网络会持续进行此漏洞的升级修复，第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复，同时，请您关注锐捷网络的官网、官微的公告内容，有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn

锐捷网络股份有限公司

2021年1月21日