思科交换机软件关键漏洞让小型商业网络处于危险之中

据外媒报道，思科小型商业交换机软件有一个关键漏洞（CVE-2018-15439），攻击者可以未经身份验证远程控制设备。

该漏洞的CVSS严重级别为9.8，它与设备上的特权用户账户等默认配置有关。特权用户帐户是为初始登录而创建的，因而无法从思科小型商业交换机设备中删除。

思科发布的通告中有一个解决方案，即在设备配置中添加一个具有15级访问权限级别的用户帐户来禁用特权帐户。用户可以将admin作为用户ID来配置新帐户，将访问权限设置为15级，并用一个复杂密码替换强密码。

受影响的思科交换机有：小型商业200系列智能交换机、250系列智能交换机、300系列托管交换机、350系列托管交换机、思科350X系列可堆叠托管交换机、500系列可堆叠托管交换机和550X系列可堆叠托管交换机。

思科220系列、200E系列智能交换机以及运行思科IOS软件、思科IOS XE软件或思科NX-OS软件的设备均不受影响。

目前还没有漏洞补丁，但思科正尽力修复漏洞。思科产品安全事件响应团队（PSIRT）目前没有发现有黑客利用该漏洞进行攻击。