Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:A/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Cisco IOS
(System information)
Описание
Протокол HTTP используется для предоставления различных, часто критически важных веб-служб, таких как информационные службы, службы управления устройствами по сети и пр. Протокол HTTP не обеспечивает шифрование данных, в том числе аутентификационных, при передаче их по соединению между клиентом и сервером.
Так как протокол HTTP не обеспечивает шифрование данных, злоумышленник, прослушивающий HTTP-сессию, сможет получить всю информацию и все учетные данные аутентификации, передаваемые в рамках данной сессии. После этого злоумышленник может попытаться получить доступ к устройству с помощью перехваченных данных аутентификации. В случае успеха атакующий получит доступ к системе в контексте пользователя, чьи учетные данные были использованы. Поскольку протокол HTTP часто применяется для управления сетевыми устройствами, подобная атака может позволить злоумышленнику получить права доступа администратора.
Так как протокол HTTP не обеспечивает шифрование данных, злоумышленник, прослушивающий HTTP-сессию, сможет получить всю информацию и все учетные данные аутентификации, передаваемые в рамках данной сессии. После этого злоумышленник может попытаться получить доступ к устройству с помощью перехваченных данных аутентификации. В случае успеха атакующий получит доступ к системе в контексте пользователя, чьи учетные данные были использованы. Поскольку протокол HTTP часто применяется для управления сетевыми устройствами, подобная атака может позволить злоумышленнику получить права доступа администратора.
Как исправить
Отключите HTTP-сервер, используя следующую команду:
hostname(config)#no ip http server
hostname(config)#no ip http server
Ссылки