一、漏洞风险说明(扫描 80 端口 Web 管理界面触发)
1. 2 个高危 lighttpd 漏洞(设备底层 Web 服务,风险极高)
- CVE-2018-19052 路径遍历漏洞
底层 lighttpd 的 mod_alias 模块存在目录穿越,攻击者无需认证即可读取设备系统任意配置文件(账号密码、NAT、策略、日志),可窃取设备管理权限。
- CVE-2019-11072 输入验证错误漏洞
恶意构造 HTTP 请求触发缓冲区异常,可实现远程拒绝服务(设备 Web 管理卡死、业务断流),极端场景可配合其他漏洞实现远程代码执行。
官方说明:这两个漏洞仅能通过升级固件彻底修复,无独立补丁包,R6609 属于老旧基线,内置 lighttpd 版本存在缺陷。
2. 多条中危 jQuery XSS 跨站脚本漏洞(Web 管理界面前端)
CVE-2012-6708 / CVE-2019-11358 / CVE-2020-11022/11023/7656 / CVE-2015-9251
成因:ACG 内置 jQuery 版本过低,管理员登录 Web 后台时,攻击者构造恶意链接诱导管理员访问,窃取会话 COOKIE、劫持设备管理权限。
修复依赖:固件升级替换内置前端 js 文件,无法单独替换网页文件。
二、分两套解决方案(优先方案:升级固件根治;备选:过保临时规避加固)
方案一:根治方案 —— 升级至修复漏洞的正式版本(推荐,等保 / 漏扫必选)
1. 目标升级基线
ACG1000 IMW110 系列(V1.10 平台):最低升级至 R6705P03 及以后稳定版本,官方版本说明书明确修复上述 2 个 lighttpd 高危漏洞,并更新 jQuery 前端库消除全部 XSS 风险。
2. 过保设备获取固件渠道
- 联系 H3C 经销商 / 400 售后
设备过保不影响获取修复漏洞的安全版本固件,提供设备 SN 码即可申请对应 BIN 升级包;400 热线 400-810-0504,说明 “漏扫高危漏洞需安全版本升级”。
- 知了社区工程师资源
知了社区搜索
SecPathACG1000-IMW110,工程师分享合规稳定修复版固件,注册账号即可下载附件。
- 合作伙伴账号下载
合作伙伴账号登录 H3C 软件下载中心,路径:安全→ACG1000 系列,下载 IMW110 最新安全版本。
3. 升级前置操作(避免配置丢失 / 变砖)
- 完整备份当前配置、特征库、审计日志策略;
- 确认设备 Flash 剩余空间≥200MB;
- 业务低峰期操作,Console 线全程连接,防止升级中断;
- 主备 ACG 场景:先升级备机,切换业务后再升级主机。
4. 升级验证
升级完成后重启设备,重新漏扫,80 端口 lighttpd、jQuery 相关漏洞全部消失。
方案二:过保无法升级时,临时多层加固规避(仅应急,无法消除漏洞,只能缩小攻击面)
第一层:严格限制 ACG Web 管理访问源(核心防护)
1. 设备本地配置 ACL,仅允许内网堡垒机 / 运维 PC 访问 80/443 管理端口
# 命令行配置ACL,仅信任运维IP 192.168.1.100可访问Web
acl number 3000
rule permit ip source 192.168.1.100 0
rule deny ip
# 绑定Web管理访问控制
web management acl 3000
效果:除指定运维 IP 外,其他任何 IP(内网终端、外网)无法访问 ACG 80/443 页面,漏洞无法被外部扫描利用。
2. 关闭 HTTP 明文管理,仅启用 HTTPS 443
undo web http enable
web https enable
消除 80 端口暴露面,漏扫将无法通过 80 端口识别 lighttpd 服务。
第二层:上游防火墙边界拦截(你组网有 F5000 防火墙)
- F5000 域间策略:禁止 Untrust(外网)访问 ACG 任何管理端口 80/443/22/23;
- 内网 Trust 域增加控制:仅运维网段放行 ACG 管理 IP,业务终端网段拦截访问 ACG 管理地址;
- 若 ACG 有公网映射,立即删除 ACG 管理地址的 NAT 内部服务器映射,禁止外网直达设备 Web。
第三层:运维操作安全规范,缓解 jQuery XSS 风险
- 仅通过堡垒机跳转登录 ACG 后台,禁止员工直接终端访问 Web 界面;
- 管理员登录后不点击陌生链接、不复制粘贴外网内容至 ACG 页面;
- 缩短 Web 会话超时时间(配置为 5 分钟自动登出);
第四层:辅助加固
- 修改设备默认管理员账号,使用高强度复杂密码,开启密码复杂度校验;
- 关闭设备 Telnet,仅保留 SSH 加密管理;
- 定期导出审计日志,监控异常访问 ACG 管理端口行为。
三、组网适配补充(参考你之前 F5000+ACG 主备组网)
- 主备两台 ACG 必须同步配置 ACL 访问限制、关闭 HTTP 服务;
- 核心 S7506XG IRF 交换机配置 ACL,业务 VLAN 禁止访问 ACG 管理 IP;
- 漏扫服务器仅允许单独运维 IP 访问 ACG,漏扫完成后临时回收权限。
四、风险对比总结
| 方案 | 漏洞消除 | 合规等保要求 | 长期稳定性 | 适用场景 |
|---|
| 固件升级 R6705P03+ | 彻底修复所有 CVE 漏洞 | 满足等保三级漏洞整改要求 | 最优,无持续风险 | 可协调获取固件、允许业务窗口停机升级 |
| 临时 ACL 边界加固 | 漏洞代码仍存在,仅阻断利用路径 | 无法通过深度漏扫复测,仅应急过渡 | 临时缓解,长期存在安全隐患 | 短期无法升级、设备过保暂无升级预算 |
五、整改交付建议(给安全 / 等保报告)
- 优先推进固件升级作为正式整改措施,升级后复测漏扫提供无漏洞报告;
- 若短期无法升级,提交《临时安全加固方案》,附上 ACL 配置、边界拦截策略截图作为过渡整改材料;
- 同步申请设备维保续费,获取官方长期版本更新与安全漏洞技术支撑。
暂无评论