• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Включена служба HTTP

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:A/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Cisco IPS (AAA)
Описание
Протокол HTTP используется для предоставления различных, часто критически важных веб-служб, таких как информационные службы, службы управления устройствами по сети и пр. Протокол HTTP не обеспечивает шифрование данных, в том числе аутентификационных, при передаче их по соединению между клиентом и сервером.
Так как протокол HTTP не обеспечивает шифрование данных, злоумышленник, прослушивающий HTTP-сессию, сможет получить всю информацию и все учетные данные аутентификации, передаваемые в рамках данной сессии. После этого злоумышленник может попытаться получить доступ к устройству с помощью перехваченных данных аутентификации. В случае успеха атакующий получит доступ к системе в контексте пользователя, чьи учетные данные были использованы. Поскольку протокол HTTP часто применяется для управления сетевыми устройствами, подобная атака может позволить злоумышленнику получить права доступа администратора
Как исправить
Отключите HTTP-сервер:
sensor# configure terminal
sensor(config)# service web-server
sensor(config-web)# enable-tls true
Ссылки