• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

华三上网行为审计(设备过保)扫描出多个高危漏洞

18小时前提问
  • 0关注
  • 0收藏,73浏览
粉丝:0人 关注:0人

问题描述:

ACG1000产品漏扫出多个高危漏扫,系统版本:i-Ware software,Version 1.10,Release 6609

漏扫部分截图:

 

 

3 个回答
粉丝:132人 关注:11人

先升级下最新版本

在扫描看看还有哪些,在根据相应的解决方案处理一下

暂无评论

粉丝:18人 关注:2人

一、漏洞风险说明(扫描 80 端口 Web 管理界面触发)

1. 2 个高危 lighttpd 漏洞(设备底层 Web 服务,风险极高)

  1. CVE-2018-19052 路径遍历漏洞
    底层 lighttpd 的 mod_alias 模块存在目录穿越,攻击者无需认证即可读取设备系统任意配置文件(账号密码、NAT、策略、日志),可窃取设备管理权限。
  2. CVE-2019-11072 输入验证错误漏洞
    恶意构造 HTTP 请求触发缓冲区异常,可实现远程拒绝服务(设备 Web 管理卡死、业务断流),极端场景可配合其他漏洞实现远程代码执行。
官方说明:这两个漏洞仅能通过升级固件彻底修复,无独立补丁包,R6609 属于老旧基线,内置 lighttpd 版本存在缺陷。

2. 多条中危 jQuery XSS 跨站脚本漏洞(Web 管理界面前端)

CVE-2012-6708 / CVE-2019-11358 / CVE-2020-11022/11023/7656 / CVE-2015-9251
成因:ACG 内置 jQuery 版本过低,管理员登录 Web 后台时,攻击者构造恶意链接诱导管理员访问,窃取会话 COOKIE、劫持设备管理权限。
修复依赖:固件升级替换内置前端 js 文件,无法单独替换网页文件。

二、分两套解决方案(优先方案:升级固件根治;备选:过保临时规避加固)

方案一:根治方案 —— 升级至修复漏洞的正式版本(推荐,等保 / 漏扫必选)

1. 目标升级基线

ACG1000 IMW110 系列(V1.10 平台):最低升级至 R6705P03 及以后稳定版本,官方版本说明书明确修复上述 2 个 lighttpd 高危漏洞,并更新 jQuery 前端库消除全部 XSS 风险。

2. 过保设备获取固件渠道

  1. 联系 H3C 经销商 / 400 售后
    设备过保不影响获取修复漏洞的安全版本固件,提供设备 SN 码即可申请对应 BIN 升级包;400 热线 400-810-0504,说明 “漏扫高危漏洞需安全版本升级”。
  2. 知了社区工程师资源
    知了社区搜索SecPathACG1000-IMW110,工程师分享合规稳定修复版固件,注册账号即可下载附件。
  3. 合作伙伴账号下载
    合作伙伴账号登录 H3C 软件下载中心,路径:安全→ACG1000 系列,下载 IMW110 最新安全版本。

3. 升级前置操作(避免配置丢失 / 变砖)

  1. 完整备份当前配置、特征库、审计日志策略;
  2. 确认设备 Flash 剩余空间≥200MB;
  3. 业务低峰期操作,Console 线全程连接,防止升级中断;
  4. 主备 ACG 场景:先升级备机,切换业务后再升级主机。

4. 升级验证

升级完成后重启设备,重新漏扫,80 端口 lighttpd、jQuery 相关漏洞全部消失。

方案二:过保无法升级时,临时多层加固规避(仅应急,无法消除漏洞,只能缩小攻击面)

第一层:严格限制 ACG Web 管理访问源(核心防护)

1. 设备本地配置 ACL,仅允许内网堡垒机 / 运维 PC 访问 80/443 管理端口

plaintext
# 命令行配置ACL,仅信任运维IP 192.168.1.100可访问Web acl number 3000 rule permit ip source 192.168.1.100 0 rule deny ip # 绑定Web管理访问控制 web management acl 3000
效果:除指定运维 IP 外,其他任何 IP(内网终端、外网)无法访问 ACG 80/443 页面,漏洞无法被外部扫描利用。

2. 关闭 HTTP 明文管理,仅启用 HTTPS 443

plaintext
undo web http enable web https enable
消除 80 端口暴露面,漏扫将无法通过 80 端口识别 lighttpd 服务。

第二层:上游防火墙边界拦截(你组网有 F5000 防火墙)

  1. F5000 域间策略:禁止 Untrust(外网)访问 ACG 任何管理端口 80/443/22/23
  2. 内网 Trust 域增加控制:仅运维网段放行 ACG 管理 IP,业务终端网段拦截访问 ACG 管理地址;
  3. 若 ACG 有公网映射,立即删除 ACG 管理地址的 NAT 内部服务器映射,禁止外网直达设备 Web。

第三层:运维操作安全规范,缓解 jQuery XSS 风险

  1. 仅通过堡垒机跳转登录 ACG 后台,禁止员工直接终端访问 Web 界面;
  2. 管理员登录后不点击陌生链接、不复制粘贴外网内容至 ACG 页面;
  3. 缩短 Web 会话超时时间(配置为 5 分钟自动登出);
plaintext
web session timeout 5

第四层:辅助加固

  1. 修改设备默认管理员账号,使用高强度复杂密码,开启密码复杂度校验;
  2. 关闭设备 Telnet,仅保留 SSH 加密管理;
  3. 定期导出审计日志,监控异常访问 ACG 管理端口行为。

三、组网适配补充(参考你之前 F5000+ACG 主备组网)

  1. 主备两台 ACG 必须同步配置 ACL 访问限制、关闭 HTTP 服务;
  2. 核心 S7506XG IRF 交换机配置 ACL,业务 VLAN 禁止访问 ACG 管理 IP;
  3. 漏扫服务器仅允许单独运维 IP 访问 ACG,漏扫完成后临时回收权限。

四、风险对比总结

表格
方案漏洞消除合规等保要求长期稳定性适用场景
固件升级 R6705P03+彻底修复所有 CVE 漏洞满足等保三级漏洞整改要求最优,无持续风险可协调获取固件、允许业务窗口停机升级
临时 ACL 边界加固漏洞代码仍存在,仅阻断利用路径无法通过深度漏扫复测,仅应急过渡临时缓解,长期存在安全隐患短期无法升级、设备过保暂无升级预算

五、整改交付建议(给安全 / 等保报告)

  1. 优先推进固件升级作为正式整改措施,升级后复测漏扫提供无漏洞报告;
  2. 若短期无法升级,提交《临时安全加固方案》,附上 ACL 配置、边界拦截策略截图作为过渡整改材料;
  3. 同步申请设备维保续费,获取官方长期版本更新与安全漏洞技术支撑。

暂无评论

粉丝:0人 关注:0人

过保只是不提供升级服务,可以自己升级呀。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明