发布时间:2023-07-23
最新更新时间:2023-07-23
近期,我司收到反馈个别用户因EG/NBR产品历史漏洞遭到攻击。我司高度重视此次事件,第一时间成立专项小组进行调查。
经排查,此安全漏洞存在于EG/NBR部分产品的特定历史版本,我司已于2020年5月发现并第一时间发布了漏洞规避方案与修复版本,并通过产品云端、锐捷官网及国家公开平台(CNVD)发布了漏洞通告,为客户提供版本升级等技术支持,协助用户开展漏洞修复工作。(详见:https://www.ruijie.com.cn/gy/xw-aqtg-zw/85638/)。
为了保护贵单位设备的安全运行,建议您根据使用的产品型号,下载对应版本进行升级,升级后即可避免受到漏洞影响。如在修复过程遇到任何疑问,可联系我司寻求技术支持。
1. 漏洞说明
在设备Web管理权限未进行访问限制时才会受此漏洞影响(尤其设备Web管理权限开放到互联网情形下风险更高),在此特定场景下攻击者可利用漏洞对EG/NBR设备进行高危操作。
2. 影响范围
| 系列 | 型号 |
| RG-NBR系列 | RG-NBR108G-P、RG-NBR1000G-E、RG-NBR1300G-E、RG-NBR1700G-E、RG-NBR2100G-E、RG-NBR2500D-E、RG-NBR3000D-E、RG-NBR6120-E、RG-NBR6135-E、RG-NBR6205-E、RG-NBR6210-E、RG-NBR6215-E、RG-NBR800G、RG-NBR950G、RG-NBR1000G-C/ RG-NBR2000G-C/ RG-NBR3000G-S |
| RG-EG系列 | RG-EG1000C、RG-EG2000F、RG-EG2000K、RG-EG2000L、RG-EG2000CE、 RG-EG2000SE、RG-EG2000GE、RG-EG2000XE、RG-EG2000UE、RG-EG3000CE、RG-EG3000SE、RG-EG3000GE、RG-EG3000ME、RG-EG3000UE、RG-EG3000XE、RG-EG2100-P、RG-EG3210、RG-EG3220、RG-EG3230、RG-EG3250 |
涉及软件版本
11.9(4)B12P1(含)之前版本,2020年5月之后正式发布的版本均不受影响。
3. 漏洞解决方案
建议使用RGOS 11.9(6)B13P1及之后正式版本对设备进行系统升级,版本获取链接:https://www.ruijie.com.cn/fw/rj/90787/
关闭Web访问权限或设置Web访问白名单。
升级后修改设备Web管理密码、SSH密码、TELNET密码、VPN密码(包括VPN用户的密码)。密码强度要求至少8位、由大小写字母、数字、特殊符号组成。
4. 后续计划
锐捷网络将持续关注事件发展,如果您有任何关于此次漏洞修复的问题,可以通过以下方式联系我们,我们将为您提供技术支持:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
锐捷网络股份有限公司
2023年7月23日
