发布时间:2021-06-25
最新更新时间:2021-11-18
近日收到CNVD(国家信息安全漏洞共享平台)通报我司网关部分产品的EWEB管理系统存在任意文件读取漏洞, CNVD编号:CNVD-C-2021-116153, CNVD-C-2021-210772, CNVD-C-2021-243968。 问题表现为:在成功获取设备登陆权限后,攻击者通过恶意篡改参数,可以读取系统其他文件信息。
一、漏洞说明
RG-EG系列部分产品的管理系统存在任意文件读取漏洞,获取设备登陆权限后,攻击者通过恶意篡改参数,可以访问系统其他文件信息。
二、影响范围
涉及产品型号与软件版本:
|
产品型号 |
软件版本 |
|
RG-EG2000GE、RG-EG2000SE 、RG-EG2000CE、RG-EG2000D 、RG-EG2000T、RG-EG2000XE、RG-EG2000UE |
RGOS 11.1(3)B1T1及之前的版本 |
三、漏洞定级
该风险仅在设备的账户密码被攻击者窃取的前提下才会发生。按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“低危”。
四、漏洞规避方案
1、修改web界面超级管理员认证的密码,并具备复杂度,不易被攻击者破解:
2、设置管理主机,禁止非设备管理用户登录设备WEB系统(如下图添加管理主机限制配置):
五、漏洞解决方案
系统升级至最新的RGOS11.9(6)B13P1版本。
下载链接:https://www.ruijie.com.cn/fw/rj-first-2348/
六、后续改善计划
锐捷网络会持续跟进该漏洞的最新动态,请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
