交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
近日,CNVD报告我司BCR810W/BCR860路由器的BCOS系统存在命令执行漏洞(CNVD-2021-36237)。问题表现为:攻击者在获取设备登陆权限的前提下,可以通过在参数中注入命令执行。
一、漏洞说明
攻击者访问BCOS的web管理系统,在用户设备登陆账户密码的前提下,可以通过篡改参数注入命令执行。
二、影响范围
涉及产品型号、软件版本:
产品型号 |
软件版本 |
说明 |
BCR810W/BCR860 |
BCOS2.5.13 |
|
三、漏洞定级
只有在攻击者掌握设备登陆密码,并且用户把BCOS端口开放映射到互联网的前提下,该风险才会存在。因此,按照《GBT 30279-2013 信息安全技术 安全漏洞等级划分指南.pdf》定义,此漏洞等级为“低危”。
四、漏洞规避方案
1、关闭设备外网访问功能。方法:登录设备管理页面,找到详细配置->网络安全->运行外网登录WEB,将开关关闭并确定保存。如下图:
五、漏洞解决方案
目前,我司已发布漏洞修复解决方案,用户可通过下载升级解决该漏洞。
产品型号 |
漏洞修复版本 |
说明 |
BCR810W/BCR860 |
BCOS2.5.15 |
|
六、后续改善计划
锐捷网络会持续进行此漏洞的升级修复,第一时间跟进最新动态。建议广大用户采纳官网下载主程序的方式进行漏洞修复,同时,请您关注锐捷网络的官网、官微的公告内容,有任何关于此次漏洞修复的问题,可以通过以下方式联系我们:
锐捷售前咨询热线:4006-208-818
锐捷售后咨询热线:4008-111-000
锐捷睿易咨询热线:4001-000-078
锐捷网络官网:www.ruijie.com.cn
锐捷网络股份有限公司
2021年6月28日