思科安全管理器(Cisco Security Manager)是一個(gè)企業(yè)級(jí)安全管理應(yīng)用程序,,可監(jiān)控和管理思科的安全和網(wǎng)絡(luò)設(shè)備,包括Cisco ASA自適應(yīng)安全設(shè)備,、Cisco IPS系列傳感器設(shè)備,、Cisco集成服務(wù)路由器(ISR),、Cisco防火墻服務(wù)模塊(FWSM)、Cisco Catalyst,、Cisco交換機(jī)等等,。
近日,威脅情報(bào)和滲透測(cè)試公司Code White的安全研究員Florian Hauser在思科安全管理器中共發(fā)現(xiàn)了十二個(gè)漏洞,,其中包括關(guān)鍵路徑遍歷漏洞,、高風(fēng)險(xiǎn)的靜態(tài)憑證錯(cuò)誤和多個(gè)嚴(yán)重的Java反序列化漏洞,,其中大多數(shù)可直接導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)。
據(jù)悉,,思科修復(fù)了安全管理器4.2.2版本中的前兩個(gè)漏洞。思科同時(shí)表示將為4.2.3版本中的Java反序列化漏洞提供修復(fù)程序,,但當(dāng)前并沒有提供任何解決方法。
網(wǎng)絡(luò)安全公司Tenable的安全響應(yīng)經(jīng)理Rody Quinlan說,,“這些漏洞相對(duì)容易利用”,。并指出:“攻擊者有可能利用多種攻擊媒介來控制受影響的系統(tǒng),。”
考慮到這些漏洞的潛在影響巨大,Hauser在創(chuàng)建PoC(概念驗(yàn)證)后四個(gè)月便放棄了,,Quinlan警告說:“當(dāng)安全更新發(fā)布時(shí),企業(yè)應(yīng)當(dāng)立刻對(duì)漏洞進(jìn)行修補(bǔ),,否則在接下來的幾周內(nèi),,甚至幾天內(nèi),就會(huì)發(fā)生野外攻擊,。”
Quinlan表示,,路徑遍歷漏洞可以使攻擊者通過發(fā)送特制的目錄遍歷請(qǐng)求,將任意文件下載并上傳到易受攻擊的設(shè)備,,而靜態(tài)憑據(jù)漏洞則使攻擊者“可以查看文件的源代碼并獲取憑據(jù),可以在進(jìn)一步的攻擊中加以利用,。
同時(shí),,Java反序列化漏洞要求攻擊者發(fā)送惡意序列化Java對(duì)象作為特制請(qǐng)求的一部分,,從而導(dǎo)致使用NT Authority/SYSTEM特權(quán)執(zhí)行任意代碼”。
Hauser表示,,他于7月13日首先警告思科注意該漏洞,并被告知補(bǔ)丁已于11月10日部署到Security Manager 4.22版本,。于是,,Hauser于11月16日公開披露了他的研究成果,,但由于Cisco PSIRT“反應(yīng)遲鈍”,4.22版居然“沒有提及任何漏洞”,。
但是隨后,在同一天,,Cisco在針對(duì)CVE-2020-27125,、CVE-2020-27130和CVE-2020-27131的三個(gè)漏洞的安全公告中承認(rèn)了Hauser的貢獻(xiàn)。據(jù)Hauser透露,,其余漏洞的SP1安全補(bǔ)丁有望在數(shù)周內(nèi)發(fā)布。