官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
据BleepingComputer消息,思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞,可能允许远程攻击者伪造凭证并绕过身份验证。
思科 BroadWorks 是面向企业和消费者的云通信服务平台,漏洞由思科安全工程师内部发现,编号为 CVE-2023-20238,CVSS 评分达到了最高级别的10分。
通过利用该漏洞,攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。
除上述提到的两个组件之外,CVE-2023-20238 不会影响任何其他 BroadWorks 组件,因此其他产品的用户无需采取任何操作。
思科称,攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别,“管理员”级别将是最糟糕的情况。然而,利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量,但这并不能缓解问题,因此风险仍然很严重。
思科没有针对此缺陷提供任何解决方法,因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341,针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 (RI)版。
CVE-2023-20238 也会影响 22.0 分支的用户,但思科不会发布该版本的安全更新,因此建议旧版本用户的响应是迁移到固定版本。
目前,还没有关于 CVE-2023-20238 被主动利用的报告,但系统管理员应 尽快应用可用的更新。
参考来源:Cisco BroadWorks impacted by critical authentication bypass flaw