发布时间:2021-06-25
最新更新时间:2021-06-25
近日收到CNVD(国家信息安全漏洞共享平台)通报我司网关部分产品的EWEB管理系统存在逻辑缺陷漏洞,临时编号为:CNVD-C-2021-119795。利用该漏洞,攻击者可获取设备的访问控制权限。
一、漏洞说明
RG-EG/RG-NBR系列部分产品,软件版本老旧的WEB管理系统存在逻辑缺陷漏洞,导致攻击者可获取设备访问控制权限。
二、影响范围
涉及产品型号与软件版本:
|
产品型号 |
软件版本 |
|
NBR1700G-E NBR2500D-E NBR3000D-E NBR2100G-E NBR1300G-E |
RGOS 11.1(6)B3及之前的版本 |
|
|
|
|
EG2000XE EG2000UE EG2000L EG2000K EG2000CE EG2000G EG2000GE EG2000SE EG2000D EG2000T |
三、漏洞定级
该风险存在于老旧的WEB管理系统,我司于2016年就已修复该漏洞。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“中危”。
四、漏洞规避方案
1、修改web界面超级管理员认证的密码,并具备复杂度,不易被攻击者破解:
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
五、漏洞解决方案
下载最新软件版本,进行漏洞修复,修复版本号:RGOS 11.9(4)B12P3。
下载链接:
EG系列: https://www.ruijie.com.cn/fw/rj-first-2348/
NBR系列:https://www.ruijie.com.cn/fw/rj-first-2357/
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
