思科已经发布了安全更新,以解决多个预认证漏洞,这些漏洞利用影响Cisco Security Manager的公共攻击,可以在成功利用之后进行远程代码执行。
思科安全管理器可帮助管理各种思科安全和网络设备上的安全策略,并且还提供摘要报告和安全事件故障排除功能。
该产品可与多种Cisco安全设备配合使用,包括但不限于Cisco ASA设备,Cisco Catalyst 6000系列交换机,集成服务路由器(ISR)和防火墙服务模块。
自11月以来可用的概念验证漏洞
该通报说:“思科产品安全事件响应团队(PSIRT)知道有关这些漏洞的公告。”
这些漏洞影响Cisco Security Manager 4.22版及更早版本,并且在11月由Code White安全研究员Florian Hauser报告后,由Cisco于11月16日披露。
Hauser分享了他在Cisco PSIRT停止响应后报告的所有12个Cisco Security Manager漏洞的概念验证漏洞。
幸运的是,目前,思科表示他们不知道有任何利用今天已修补的漏洞进行的持续攻击。
思科补充说:“思科PSIRT不了解恶意使用了本通报中描述的漏洞。”
提供安全更新
思科解决了这12个漏洞中的两个(CVE-2020-27125和 CVE-2020-27130),但未提供任何安全更新来修复多个安全漏洞,这些漏洞统称为 CVE-2020-27131。
该漏洞由Hauser在Cisco Security Manager的Java反序列化功能中发现,并且是由“受影响的软件对用户提供的内容进行不安全的反序列化”引起的。
Cisco released the missing patches for CVE-2020-27131 in Servicepack 4.22SP1. Patch now!— frycos (@frycos) December 7, 2020
成功利用这些漏洞后,它们可能允许未经身份验证的攻击者在易受攻击的设备上远程执行任意命令。
思科解释说:“攻击者可以通过将恶意的序列化Java对象发送给受影响的系统上的特定侦听器来利用这些漏洞。”
“成功的利用可能使攻击者能够在Windows目标主机上使用NT AUTHORITY \ SYSTEM特权在设备上执行任意命令。”
思科已在Cisco Security Manager版本4.22 Service Pack 1中修复了这些漏洞。
鉴于没有解决这些安全漏洞的变通办法,管理员应立即尽快部署安全更新。
十一月,思科还披露了一个AnyConnect VPN零时差漏洞,该漏洞带有公共漏洞,影响具有非默认配置的软件。
*编译:Domino
*来自:bleepingcomputer