思科IOS系统存漏洞 拟撤销FTP服务器功能

　　5月11日消息，思科系统公司5月9日警告称，其IOSFTP服务器中存在多个安全漏洞。IOSFTP服务器是一项可以选择的服务，默认状态是关闭的。

　　据certcities.com网站报道，FTP服务器是思科IOS操作系统的一项功能。除了思科基于新的IOSXR操作系统的产品之外，大多数思科交换机、路由器和防火墙设备都采用这个IOS操作系统。因此，由于这个安全漏洞，思科将从其IOS软件中取消这个FTP服务器功能。

　　这个安全漏洞可能导致拒绝服务攻击、不适当的用户证书验证，甚至更严重的是能够让攻击者访问或者修改这个设备文件系统中的文件，包括存储的设置文件。思科警告称，这个配置文件通常包含口令和其它敏感的信息。

　　思科说，如果一个网络管理员启用并且设置了IOSFTP服务器功能，这个设备就容易受到攻击。11.3、12.0、12.1、12.2、12.3和12.4版本的思科IOS软件包含这个IOSFTP服务器。IOSXR软件没有这个安全漏洞。

　　思科承认在IOSFTP守护程序中至少存在两个安全漏洞：一个是“不适当的授权检查”漏洞，另一个是“当通过FTP传输文件时装载IOS”的问题。攻击者能过利用第一个安全漏洞连接到TCP端口21和20，不需要用户互动和身份识别。第二个安全漏洞也是如此。成功地利用这两个安全漏洞中的任何一个安全漏洞都可以访问IOS文件系统，重载设备本身和甚至执行任意代码。

　　思科称，同样麻烦的是攻击者还能够获取设备的启动配置文件。这个文件包含口令和其它信息。攻击者能够利用这个文件提高自己的权限。反复利用IOSFTP服务器安全漏洞的攻击者还能够引起决绝服务攻击。

　　到目前为止还没有修复这个安全漏洞的补丁，尽管思科计划发布补丁修复相关的安全漏洞。思科官员建议用户关闭IOSFTP服务器功能。此外，思科还建议用户使用基础设施访问控制列表制定政策，规定哪些通讯可以发送到基础设施设备。用户还可以使用网络接入身份识别功能缓解不适当的身份认证漏洞。

　　最后，思科官员披露称，思科计划暂时从IOS系统中撤销FTP服务器功能。思科可能在未来的某个时候增加安全的FTP服务器功能。