思科在Prime Home Device Management Server中修补临界缺陷

思科系统已经修复了一个关键漏洞，可以允许黑客接管电信提供商使用的服务器来远程管理路由器等客户设备。

该漏洞影响Cisco Prime Home，一种自动配置服务器（ACS）与使用TR-069协议与用户设备通信。除了远程管理客户设备之外，它还可以通过移动，光纤，电缆和其他ISP网络“自动激活和康复和康复订阅者并通过服务包提供高级服务”。

“基于Web的Cisco Prime Home的GUI的漏洞可能允许未经身份验证的远程攻击者绕过身份验证并使用管理员权限执行操作，”思科在其咨询中表示。

攻击者可以通过在不需要身份验证的情况下将API命令发送到特定URL来利用漏洞。思科解释说，缺陷是由基于角色的访问控制中的处理错误引起的。

在过去，安全研究人员发现了TR-069的实施中的漏洞，这些路由器可能让黑客远程接管这些设备。然而，思科奖金等ACS中的漏洞是更糟糕的，因为它可以用来一次控制整组用户设备。

根据思科的文档，Cisco Prime Home上的管理角色可以访问服务器的客户支持，管理和审计函数，以及执行批量操作和访问实用程序和报告的能力。

该漏洞影响思科Prime Home版本6.3.0.0及以上。建议客户迁移到最新的固定版本：6.5.0.1.

该公司还警告了客户在Cisco Prime Service目录中的中型风险URL重定向漏洞，这是一个允许公司设置自助门户网站的产品，为数据中心和应用程序服务提供IT服务目录，并管理服务请求。

攻击者可以利用漏洞将用户登录到Cisco Prime Service Catalog中的用户到网络钓鱼站点以窃取其凭据。