跳转到主要内容

关于华为/H3C部分设备存在HTTP管理漏洞的规避方法

故障描述

  AR 路由器:AR 18/28/46、AR 19/29/49(H3C型号为MSR20/30/50) 为中小企业的多业务路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同时还支持Web管理。AR 19/29/49(H3C型号为MSR20/30/50)仅支持Web管理。.
受影响版本:

  • AR 19/29/49 R2207 earlier versions(H3C型号为MSR20/30/50)
  • AR 28/46 R0311 and earlier versions
  • AR 18-3x R0118 and earlier versions
  • AR 18-2x R1712 and earlier versions
  • AR18-1x R0130 and earlier versions

  Huawei 交换机:S2000系列、S3000系列、S3500系列、S3900系列(H3C为S3600)、S5100系列和S5600系列交换机支持WEB网管,开启了HTTP服务。S7800系列交换机R6305及以后的版本支持WEB网管,开启了HTTP服务。S8500(H3C为S9500)系列交换机不支持WEB网管,但在R1631P001和R1632(注1)版本中默认打开了HTTP服务。
受影响版本:

  • S2000系列、S3000系列、S3500系列、S3900系列(H3C S3600)、S5100系列和S5600系列交换机所有版本
  • S7800系列交换机R6305和以后的版本
  • S8500系列交换机R1631P001版本(H3C S9500)
  • S8500系列交换机R1632版本(H3C 9500)
故障分析
  攻击者利用此漏洞,可能使设备执行攻击者注入的任意命令。
处理过程
场景一:用户使用设备时不使用WEB网页进行配置管理,且不使用BIMS(Branch Intelligent Management System)功能进行远程配置。 规避方案:关闭HTTP端口 和BIMS服务,具体配置如下: AR 18/28/46: [Quidway] ip http shutdown [Quidway] undo bims enable AR 19/29/49: [Quidway] undo ip http enable S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交换机: [Quidway] ip http shutdown (注3) S7800系列交换机: [Quidway] undo ip http enable 场景二:用户使用WEB网页对设备进行配置管理或使用BIMS功能进行远程配置。 规避方案:通过ACL控制HTTP建立的源IP地址,具体配置如下: AR 18/28/46: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 AR 19/29/49: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交换机: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 (注3) S7800系列交换机: [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 场景三:设备不支持WEB网页进行配置管理,但HTTP服务端口是打开的。 规避方案:关闭HTTP服务端口,具体配置如下: S8500系列交换机: [Quidway] ip http shutdown
建议/总结
  版本建议如下: AR 18/28/46 通过规避方案解决,暂不发布版本或补丁修复此漏洞; AR 19/29/49 通过规避方案解决,或者升级为AR 19/29/49 R2207或之后版本; S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交换机: 通过规避方案解决,暂不发布版本或补丁修复此漏洞; S8500系列交换机: 通过规避方案解决,或是升级到R1640及以后的版本。
附件
就Recurity_Lab_披露华为AR_18_28安全漏洞说明函