思科頻頻發佈漏洞警告

留下回應

分享

    

近來這似乎已經成為思科每週的例行公事了：思科（Cisco Systems）再次發表了安全警訊。

思科在週四針對IPSec-based的VPN 3000 Concentrator客戶發出專家所謂的「很小的安全通報」。這個問題同時存在於Linux及微軟版的IPSec用戶端裡，當客戶將VPN（虛擬私人網路）集中器設定為接受群組密碼（group passwords）而不用數位簽章來做認證時，就會發生問題。

通常，群組密碼當做認證之用時都會加密。但是安全專家發現到，VPN 3000 Concentrator用戶端上，密碼可以從記憶體裡抽離出來，因此使用Cisco軟體用戶端的人都可取得。

在認證時間裡群組密碼被用做「預先共享金鑰」（pre-shared keys）時，了解群組密碼的人可能利用它來綁架網路連線或者是取得機密資訊。

一般而言，群組密碼保護比其他PKI（公鑰基礎建設）等數位簽章的認證方式較不安全。思科在安全警訊中表示，將會發佈新的軟體來修復這個用戶端問題。目前思科則建議客戶採用PKI做為替代方案。

位於丹麥哥本哈根的Secunia安全公司已經為該漏洞發表了安全告示，該公司稱這個類洞為「很小的安全問題」。

Secunia技術長Thomas Kristensen表示：「對思科使用者來說這是很小的問題。」「我認為影響的客戶不多，因為大部份可能都是使用PKI。」

過去幾個星期以來，VPN用戶端漏洞只是思科所面對的諸多漏洞之一。前不久思科才通知客戶，採用LEAP（Lightweight Extensible Authentication Protocol/ 簡易可延伸認證協定）技術的無線區域網路（WLAN）的相關漏洞。這個漏動讓駭客更容易發動所謂的目錄攻擊，或猜出密碼。上週，思科又通知客戶，無線區域網路解決方案引擎（WLAN Solution Engine）與代管解決方案引擎（Hosting Solution Engine）內所預設的使用者名稱及密碼，可能讓駭客可以完全控制無線區域網路的管理。

上週，思科還坦承，Catalyst 6500交換器產品線的漏洞讓它的硬體更容易受DoS（服務阻斷）攻擊。三月間，思科警告客戶，發現有軟體在利用其IOS（Internetwork Operating Systems）裡的九個漏洞。IOS軟體幾乎在所有的思科產品裡都有，包括了Catalyst Ethernet交換器與IP路由器。

Farpoint Group分析師Craig Mathias表示：「當你生產這麼複雜的產品時，難免一定會有安全漏洞的。」「但Windows和IOS為什麼做得這麼複雜？微軟和思科可能要學學梭羅的簡單哲學。」(郭和杰)