锐捷网络关于安全上网行为产品部分型号版本存在信息泄露漏洞的通告

近日，有关平台报告（信息编号：CNVD-2021-14536）锐捷安全上网行为产品存在信息泄露漏洞，攻击者可利用该后门漏洞非法获取设备敏感信息。详细情况如下： 

一、漏洞说明

RG-UAC 6000系列系列统一上网行为管理与审计系统产品在连接互联网后，攻击者利用web管理界面漏洞执行非法操作，获取设备管理员认证的加密信息。

二、影响范围

涉及产品型号与软件版本：

三、漏洞定级

该风险仅在设备WEB页面弱密码被攻击者登陆后的条件下发生。

按照《GBT 30279-2013 信息安全技术安全漏洞等级划分指南》定义，此漏洞等级为“中危”。即：可远程操作、设备弱密码环境，不易形成大规模攻击。

四、漏洞规避方案

1、设置管理主机，禁止非设备管理用户登录设备WEB系统（如下图添加管理主机限制配置）：

2、修改web界面超级管理员认证的密码，并具备复杂度，不易被攻击者破解：

五、漏洞解决方案

针对解决该漏洞升级对应平台的软件版本，版本号：

64位平台：RG-UAC_V1.0-R2.1.7.p0_23763_20210401及之后版本，版本文件下载地址：https://www.ruijie.com.cn/fw/rj/59078/

32位平台：RG-UAC-V1.0-R1.8.3.p1_20210401及之后版本，版本文件下载地址：https://www.ruijie.com.cn/fw/rj/57400/

六、后续改善计划

锐捷网络会持续跟进该漏洞的最新动态，请您关注锐捷网络的官网、官微的公告内容。有任何关于此次漏洞修复的问题，可以通过以下方式联系我们：

锐捷售前咨询热线：4006-208-818

锐捷售后咨询热线：4008-111-000

锐捷睿易咨询热线：4001-000-078

锐捷网络官网：www.ruijie.com.cn