思科已经发布了安全更新报告，他们利用公开exp解决了Cisco Security Manager的多个身份认证漏洞，这些公开exp在成功利用之后可以允许远程代码执行。

Cisco Security Manager可帮助管理各种思科安全和网络设备上的安全策略，并且还具有摘要报告和安全事件故障排除功能。

该产品可与多种Cisco安全设备配合使用，包括但不限于Cisco ASA设备、Cisco Catalyst 6000系列交换机、集成服务路由器（ISR）和防火墙服务模块。

11月以来可用的POC exp

该报告说：“思科产品安全事件响应团队（PSIRT）已经了解了有关这些漏洞的公告。”

这些漏洞只会影响Cisco Security Manager 4.22及之前的版本，并且在Code White安全研究员Florian Hauser于8月对其作出报告之后，Cisco于11月16日披露了这些漏洞。

在Cisco PSIRT停止响应后，Hauser分享了他报告的所有12个Cisco Security Manager漏洞的POC exp。

幸运的是，目前思科表示他们没有发现存在任何利用今天已修补的漏洞进行的持续攻击。

思科补充说：“目前为止思科PSIRT没有发现恶意使用本报告中提到的漏洞的情况。”

可用的安全更新补丁

思科解决了这12个漏洞中的两个（CVE-2020-27125和 CVE-2020-27130），但未提供任何安全更新来修复多个安全漏洞，这些漏洞统称为 CVE-2020-27131。

Hauser在Cisco Security Manager的Java反序列化函数中发现了该漏洞，这些漏洞是由“受攻击的软件对用户提供的内容进行了不安全的反序列化”导致的。

思科在Servicepack 4.22SP1中发布了CVE-2020-27131的补丁。请立即下载补丁修复漏洞！

—— frycos（@frycos）2020年12月7日

成功利用此exp后，它们可以允许未经身份验证的攻击者在易受攻击的设备上远程执行任意命令。

思科解释说：“这些漏洞可以让攻击者将恶意的序列化Java对象发送给受攻击系统上特定的listener。”

“成功利用该exp后，攻击者能够在Windows目标主机上使用NT AUTHORITY\SYSTEM权限在设备上执行任意命令。”

思科已经在Cisco Security Manager 4.22的Service Pack 1中修复了这些漏洞。

鉴于没有解决这些安全漏洞的应急办法，建议管理员立即尽快进行安全更新。

去年十一月，思科还披露了一个 AnyConnect VPN 0day漏洞，该漏洞带有一个公开exp，将会影响非默认配置的软件。

本文翻译自：https://www.bleepingcomputer.com/news/security/cisco-fixes-security-manager-vulnerabilities-with-public-exploits/如若转载，请注明原文地址：