Lenovo 安全公告:LEN-16095
潜在影响:攻击者可能获得交换机管理接口的访问权限来批准设置更改,从而可能导致曝露经由该交换机的流量、在所连接的基础结构中引发不易察觉的故障,以及部分或完全拒绝服务。
严重性:高
影响范围:Lenovo 特有的产品
CVE ID:CVE-2017-3765
摘要描述:
ENOS(企业网络操作系统)是为某些 Lenovo 和 IBM RackSwitch 以及 BladeCenter 交换机供电的固件。Lenovo 在一次安全审核中发现,Telnet 和串行控制台管理接口以及(在有限且罕见的特定条件下)SSH 和 Web 管理接口中存在称为“HP 后门”的认证绕过机制。在特定条件下,使用每个交换机唯一的凭证执行本地认证时可访问此绕过机制。利用该弱点可获得交换机的管理员级别访问权限。
CNOS(云网络操作系统)固件不受此问题的影响。
以下 ENOS 接口和认证配置受此问题的影响:
· 在下文所述的特定条件下,Telnet 和串行控制台执行本地认证,或执行 RADIUS/TACACS+/LDAP 与本地认证的组合
· 在下文所述的特定条件下,Web 以一种罕见的情况执行 RADIUS/TACACS+ 与本地认证的组合
· 在下文所述的特定条件下,(仅)2004 年 5 月至 2004 年 6 月期间所发布部分固件中的 SSH 执行 RADIUS/TACACS+ 与本地认证的组合;易受影响的代码存在于更近期的固件中,但未被使用
其他接口和认证配置不受此问题的影响:
· 2004 年 6 月之后所发布固件中的 SSH 不受影响
· 仅使用本地认证的 SSH 和 Web 不受影响
· 使用 LDAP、RADIUS 或 TACACS+ 但未使用本地认证回退的 SSH、Web、Telnet 和串行控制台不受影响
· 其他管理接口(如 SNMP)不受影响
一份源代码修订历史记录审核发现此认证绕过机制添加于 2004 年,当时 ENOS 由 Nortel 公司的刀片服务器交换机业务部门(BSSBU)负责。该机制由 Nortel 授权并根据 BSSBU OEM 客户的请求而添加。Nortel 于 2006 年剥离了 BSSBU 部门而成立了 BLADE Network Technologies(BNT)公司。BNT 于 2010 年被 IBM 收购并随后于 2014 年被 Lenovo 收购。
Lenovo 已将相关源代码提供给第三方安全合作伙伴以供其对该机制进行独立调查。
Lenovo 不接受存在任何绕过认证或授权的机制,该类机制不符合 Lenovo 产品安全实践和行业实践。Lenovo 已从 ENOS 源代码中删除了该机制,并发布了针对受影响产品的更新固件。
Lenovo 尚不清楚此机制受利用的情况,但我们假定该机制的存在已为人所知,并建议客户升级到已根除该机制的固件版本。
解决方案:
应采取哪些措施进行自我保护:
升级到下方“产品影响”部分所述的 ENOS 固件版本。
如果不能立即升级,则最可靠的做法是执行以下所有操作:
· 启用 LDAP、RADIUS 或 TACAS+ 远程认证;且
· 对于任何已启用的 LDAP、RADIUS 或 TACAS+,禁用相关“后门”和“安全后门”本地认证回退设置;且
· 禁用 Telnet;且
· 限制对串行控制台端口的物理访问权限
如果无法执行上述全部操作,则可根据您所处环境的具体情况,尝试执行一组更有限的操作。该漏洞的具体条件为:
存在以下条件时,SSH 管理接口易受影响:
· 正在使用的 ENOS 固件创建于 2004 年 5 月和 2004 年 6 月之间;且
· 启用了一个或多个 RADIUS 或 TACAS+,且启用了相关“后门”或“安全后门”本地认证回退,且发生了 RADIUS 或 TACAS+ 认证超时
注:这些接口如使用 LDAP 则不受影响
注:这些接口如使用仅限本地认证则不受影响
存在以下条件时,Web 管理接口易受影响:
· 出现罕见的内部乱序执行情况(竞争条件),且
· 启用了一个或多个 RADIUS 或 TACAS+,且启用了相关“后门”或“安全后门”本地认证回退,且发生了 RADIUS 或 TACAS+ 认证超时
注:这些接口如使用 LDAP 则不受影响
注:这些接口如使用仅限本地认证则不受影响
存在以下条件时,Telnet 和串行控制台管理接口易受影响:
· LDAP、RADIUS 和 TACAS+ 均被禁用;或
· 启用了一个或多个 LDAP、RADIUS 或 TACAS+,且启用了相关“后门”或“安全后门”本地认证回退,且发生了 LDAP、RADIUS 或 TACAS+ 认证超时
为清楚起见,“针对客户的缓解策略”部分中提及的“后门”和“安全后门”指的是本地认证回退机制,而并非本公告中描述的认证绕过机制。用在认证回退上下文中的“后门”是配置 RADIUS 和 TACACS+ 时常用的行业标准术语。
产品影响:
Lenovo 交换机
产品 | 状态 | 修复程序所需的最低版本 | 更新链接 |
Lenovo Flex System Fabric CN4093 | 受到影响 | 8.4.6.0 | |
Lenovo Flex System Fabric EN4093R | 受到影响 | 8.4.6.0 | |
Lenovo Flex System Fabric SI4093 | 受到影响 | 8.4.6.0 | |
Lenovo Flex System SI4091 | 受到影响 | 8.4.6.0 | |
Lenovo Rack Switch G8272-CNOS | 未受影响 |
|
|
Lenovo RackSwitch G8332-CNOS | 未受影响 |
|
|
Lenovo RackSwitch G7028 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G7052 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8052 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8124E | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8264 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8264CS | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8272 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8296 | 受到影响 | 8.4.6.0 | |
Lenovo RackSwitch G8296-CNOS | 未受影响 |
|
|
Lenovo RackSwitch G8332 | 受到影响 | 8.4.6.0 |
IBM 交换机
产品 | 状态 | 修复程序所需的最低版本 | 更新链接 |
IBM Flex System™ Fabric EN4093/ | 受到影响 | 7.8.18.0 | |
IBM Flex System™ Fabric CN4093 | 受到影响 | 7.8.18.0 | |
IBM Flex System™ Fabric SI4093 | 受到影响 | 7.8.18.0 | |
IBM Flex System EN2092 1Gb | 受到影响 | 7.8.18.0 | |
适用于 Bladecenter 的 IBM | 受到影响 | 21.0.26.0 | |
IBM BladeCenter Virtual | 受到影响 | 7.8.14.0 | |
IBM Bladecenter 1:10G Uplink | 受到影响 | 7.4.18.0 | |
IBM BladeCenter Layer 2/3 | 受到影响 | 5.3.12.0 | |
IBM RackSwitch G8264CS | 受到影响 | 7.8.18.0 | |
IBM RackSwitch G8264 | 受到影响 | 7.11.11.0 | |
IBM RackSwitch G8052 | 受到影响 | 7.11.11.0 | |
IBM Rackswitch G8332 | 受到影响 | 7.7.27.0 | |
IBM RackSwitch G8124E | 受到影响 | 7.11.11.0 | |
IBM RackSwitch G8264T | 受到影响 | 7.9.21.0 | |
IBM RackSwitch G8316 | 受到影响 | 7.9.21.0 | |
IBM RackSwitch G8124 | 受到影响 | 7.11.11.0 |
要获得所有 Lenovo 产品安全公告的完整列表,请单击此处。
最新信息请关注 Lenovo 关于您设备和软件的更新和公告。此公告内的信息“按原样”提供,我们不对内容作任何保证。Lenovo 保留随时更改或更新本公告的权利。