思科安全管理器（Cisco Security Manager）是一個企業(yè)級安全管理應用程序,，可監(jiān)控和管理思科的安全和網(wǎng)絡(luò)設(shè)備，包括Cisco ASA自適應安全設(shè)備,、Cisco IPS系列傳感器設(shè)備,、Cisco集成服務(wù)路由器（ISR）、Cisco防火墻服務(wù)模塊（FWSM）,、Cisco Catalyst,、Cisco交換機等等。

　　近日,，威脅情報和滲透測試公司Code White的安全研究員Florian Hauser在思科安全管理器中共發(fā)現(xiàn)了十二個漏洞,，其中包括關(guān)鍵路徑遍歷漏洞、高風險的靜態(tài)憑證錯誤和多個嚴重的Java反序列化漏洞,，其中大多數(shù)可直接導致遠程代碼執(zhí)行（RCE）,。

　　據(jù)悉，思科修復了安全管理器4.2.2版本中的前兩個漏洞,。思科同時表示將為4.2.3版本中的Java反序列化漏洞提供修復程序,，但當前并沒有提供任何解決方法。

　　網(wǎng)絡(luò)安全公司Tenable的安全響應經(jīng)理Rody Quinlan說,，“這些漏洞相對容易利用”,。并指出：“攻擊者有可能利用多種攻擊媒介來控制受影響的系統(tǒng)?！?/p>

　　考慮到這些漏洞的潛在影響巨大,，Hauser在創(chuàng)建PoC（概念驗證）后四個月便放棄了，Quinlan警告說：“當安全更新發(fā)布時,，企業(yè)應當立刻對漏洞進行修補,，否則在接下來的幾周內(nèi)，甚至幾天內(nèi),，就會發(fā)生野外攻擊,?！?/p>

　　Quinlan表示，路徑遍歷漏洞可以使攻擊者通過發(fā)送特制的目錄遍歷請求,，將任意文件下載并上傳到易受攻擊的設(shè)備,，而靜態(tài)憑據(jù)漏洞則使攻擊者“可以查看文件的源代碼并獲取憑據(jù)，可以在進一步的攻擊中加以利用,。

　　同時,，Java反序列化漏洞要求攻擊者發(fā)送惡意序列化Java對象作為特制請求的一部分，從而導致使用NT Authority/SYSTEM特權(quán)執(zhí)行任意代碼”,。

　　Hauser表示,，他于7月13日首先警告思科注意該漏洞，并被告知補丁已于11月10日部署到Security Manager 4.22版本,。于是,，Hauser于11月16日公開披露了他的研究成果，但由于Cisco PSIRT“反應遲鈍”,，4.22版居然“沒有提及任何漏洞”,。

　　但是隨后，在同一天,，Cisco在針對CVE-2020-27125,、CVE-2020-27130和CVE-2020-27131的三個漏洞的安全公告中承認了Hauser的貢獻。據(jù)Hauser透露,，其余漏洞的SP1安全補丁有望在數(shù)周內(nèi)發(fā)布,。