VULHUB ™

Cisco Guard和Cisco Traffic Anomaly Detector设备都是缓解分布式拒绝服务(DDoS)攻击的设备，可以检测是否存在潜在的DDoS攻击，并转移流向所监控网络的攻击流量而不会影响合法通讯流。 Cisco Guard和Cisco Anomaly Traffic Detector对访问认证处理上存在漏洞，在某些情况下，攻击者可以绕过访问认证，获取非授权访问权限。如果Cisco Guard和Cisco Anomaly Traffic Detector设备配置为使用外部TACACS+服务器对登录到设备的用户进行认证，而tacacs-server host命令没有指定实际的TACACS+服务器，则可以绕过认证。绕过认证用户可得到的权限取决于登录所使用的帐号类型，以及设备上是否存在帐号，情况如下： * 使用不存在的帐号：用户只能执行show命令 * 使用已有的本地帐号：用户可获得正常给予该帐号相同的权限 * 使用已有的Linux帐号：用户可访问基础Linux shell 此外，如果通过aaa authentication enable tacacs+命令对TACACS+服务器执行enable认证且没有通过tacacs-server host命令指定实际的TACACS+服务器的话，用户还可以绕过enable命令的认证。 请注意仅在缺少tacacs-server host命令的情况下设备才存在漏洞。如果存在这条命令则即使服务器的IP地址不正确，或无法到达TACACS+服务器，设备也没有漏洞。

Cisco Guard和Cisco Traffic Anomaly Detector设备都是缓解分布式拒绝服务(DDoS)攻击的设备，可以检测是否存在潜在的DDoS攻击，并转移流向所监控网络的攻击流量而不会影响合法通讯流。 Cisco Guard和Cisco Anomaly Traffic Detector对访问认证处理上存在漏洞，在某些情况下，攻击者可以绕过访问认证，获取非授权访问权限。如果Cisco Guard和Cisco Anomaly Traffic Detector设备配置为使用外部TACACS+服务器对登录到设备的用户进行认证，而tacacs-server host命令没有指定实际的TACACS+服务器，则可以绕过认证。绕过认证用户可得到的权限取决于登录所使用的帐号类型，以及设备上是否存在帐号，情况如下： * 使用不存在的帐号：用户只能执行show命令 * 使用已有的本地帐号：用户可获得正常给予该帐号相同的权限 * 使用已有的Linux帐号：用户可访问基础Linux shell 此外，如果通过aaa authentication enable tacacs+命令对TACACS+服务器执行enable认证且没有通过tacacs-server host命令指定实际的TACACS+服务器的话，用户还可以绕过enable命令的认证。 请注意仅在缺少tacacs-server host命令的情况下设备才存在漏洞。如果存在这条命令则即使服务器的IP地址不正确，或无法到达TACACS+服务器，设备也没有漏洞。