思科安全管理器曝出大量严重漏洞
星期四, 十一月 19, 2020
思科安全管理器(Cisco Security Manager)是一个企业级安全管理应用程序,可监控和管理思科的安全和网络设备,包括Cisco ASA自适应安全设备、Cisco IPS系列传感器设备、Cisco集成服务路由器(ISR)、Cisco防火墙服务模块(FWSM)、Cisco Catalyst、Cisco交换机等等。
近日,威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞,其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞,其中大多数可直接导致远程代码执行(RCE)。
据悉,思科修复了安全管理器4.2.2版本中的前两个漏洞。思科同时表示将为4.2.3版本中的Java反序列化漏洞提供修复程序,但当前并没有提供任何解决方法。
网络安全公司Tenable的安全响应经理Rody Quinlan说,“这些漏洞相对容易利用”。并指出:“攻击者有可能利用多种攻击媒介来控制受影响的系统。”
考虑到这些漏洞的潜在影响巨大,Hauser在创建PoC(概念验证)后四个月便放弃了,Quinlan警告说:“当安全更新发布时,企业应当立刻对漏洞进行修补,否则在接下来的几周内,甚至几天内,就会发生野外攻击。”
Quinlan表示,路径遍历漏洞可以使攻击者通过发送特制的目录遍历请求,将任意文件下载并上传到易受攻击的设备,而静态凭据漏洞则使攻击者“可以查看文件的源代码并获取凭据,可以在进一步的攻击中加以利用。
同时,Java反序列化漏洞要求攻击者发送恶意序列化Java对象作为特制请求的一部分,从而导致使用NT Authority/SYSTEM特权执行任意代码”。
Hauser表示,他于7月13日首先警告思科注意该漏洞,并被告知补丁已于11月10日部署到Security Manager 4.22版本。于是,Hauser于11月16日公开披露了他的研究成果,但由于Cisco PSIRT“反应迟钝”,4.22版居然“没有提及任何漏洞”。
但是随后,在同一天,Cisco在针对CVE-2020-27125、CVE-2020-27130和CVE-2020-27131的三个漏洞的安全公告中承认了Hauser的贡献。据Hauser透露,其余漏洞的SP1安全补丁有望在数周内发布。
参考资料
思科安全管理器12个安全漏洞的PoC文件列表:
https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e