发布时间:2021-11-18
最新更新时间:2021-03-07
今天收到锐捷网络收到CNVD(国家信息安全漏洞共享平台)通报我司网关部分产品的EWEB管理系统存在文件上传漏洞,CNVD正式编号为CNVD-2021-29188。问题表现为:攻击者利用该漏洞成功登陆设备后构造恶意请求,取得服务器控制权。建议您通过官网下载主程序进行漏洞修复,给您带来工作上的不便,致以深深的歉意。
一、漏洞说明
锐捷部分网关产品Eweb管理系统存在文件上传漏洞,部分型号的网关WEB管理系统存在文件上传漏洞,攻击者利用该漏洞成功登陆设备后构造恶意请求,取得服务器控制权。
二、影响范围
1、涉及软件版本:
11.9(1)B11以后(含11.9(1)B11),11.9(4)B12P1以前版本(含11.9(4)B12P1)存在此问题
注:11.9(4)B12P1以后发布的版本都不受该漏洞影响。
2、涉及产品型号:
|
NBR系列 |
NBR108G-P、NBR1000G-E、NBR1300G-E、NBR1700G-E、NBR2100G-E、NBR2500D-E、NBR3000D-E、NBR6120-E、NBR6135-E、NBR6205-E、NBR6210-E、NBR6215-E、NBR800G、NBR950G、NBR1000G-C、NBR2000G-C、NBR3000G-S |
|
EG系列 |
RG-EG1000C、RG-EG2000F、RG-EG2000K、RG-EG2000L、RG-EG2000CE、 RG-EG2000SE、RG-EG2000GE、RG-EG2000XE、RG-EG2000UE、RG-EG3000CE、RG-EG3000SE、RG-EG3000GE、RG-EG3000ME、RG-EG3000UE、RG-EG3000XE、RG-EG2100-P、EG3210、EG3220、EG3230、EG3250 |
三、漏洞定级
该风险在设备开启eweb登录权限后,攻击者可通过特殊的方式获取到设备的特权权限。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“高危”。
四、漏洞规避方案
1.限定内外网访问设备WEB页面(管理员除外):
CLI:
Config
control-plane
security deny lan-web
security deny wan-web
security web permit 172.18.137.167(172.18.137.167此处设置为管理ip)
2. 修改密码,使用强密码
五、漏洞解决方案
登陆官网或MACC诺客云升级到最新11.9(6)B13P1及以上版本解决(如果旧版本升级新版本建议修改密码)。
版本下载链接:https://www.ruijie.com.cn/fw/rj-first-2348/
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
