野外攻击在数周之内不可避免,即使不是几天,一位安全专业人员警告说
更新在Cisco Security Manager的Web界面中发现了很多预验证安全漏洞,其中大多数直接导致远程代码执行(RCE)。beplay体育能用吗
安全研究人员弗洛里安·豪瑟(Florian Hauser)威胁英特尔和渗透测试企业代码怀特总共发现了十几个缺陷,其中包括一个关键路径遍历脆弱性,高风险静态凭证错误和多重严重性爪哇避免缺陷。
“多次攻击向量”
Cisco修复了安全管理器版本4.2.2中的前两个漏洞,现在可以安装。这家网络技术巨头表示,它将在4.2.3的Java避难所中应用修复程序,但同时却没有提供任何解决方法。
网络安全公司Tenable的安全响应经理Rody Quinlan表示,“脆弱性相对容易利用”,并介绍了“威胁行为者可能会利用控制受影响系统的多个攻击向量”。
鉴于潜在的严重含义以及豪瑟现在已经下降的事实概念证明昆兰在创建它们的四个月后警告说:“一旦发布更新,就必须立即修补,因为不可避免的是,我们将在接下来的几周(即使不是几天)中看到野外攻击。”
昆兰说,路径遍历脆弱性“可以通过发送专门精心制作的攻击者将文件任意下载和上传到脆弱设备目录遍历请求”,虽然静态凭证漏洞允许攻击者“查看文件的源代码和收获凭据,这可以在进一步的攻击中利用”。
同时,Java的挑战漏洞“要求攻击者将恶意的序列化Java对象作为特殊精心设计的请求的一部分,导致与NT Authority \ System \ System Privileges一起执行任意代码”。
十一月补丁
豪瑟说,他首先在7月13日向思科提醒这些缺陷,并被告知补丁已于11月10日应用于安全经理的4.22版。
但是,他于11月16日公开披露了他的研究思科PSIRT是“反应迟钝的”显然是发行了4.22版,而没有提及“任何漏洞”。
但是,在同一天,思科确实承认了三个咨询中的漏洞和霍瑟的贡献CVE-2020-27125,,,,CVE-2020-27130, 和CVE-2020-27131。
昨天(11月17日)豪瑟推文一个更积极的更新:“与思科有个好电话!确实已经实施了缺失的漏洞修复程序,但需要进一步的测试。”
他补充说:“ SP1将在接下来的几周内发布。我们现在找到了一种良好的协作方式。”
一位思科发言人告诉每日swbeplay2018官网ig。
“思科发布了免费的软件更新,以解决CSM路径遍历漏洞咨询和CSM静态凭证漏洞咨询中描述的漏洞。
“思科将尽快发布免费的软件更新,以解决CSM Java避难所漏洞中描述的漏洞。我们要求客户请查看咨询信息以获取完整的详细信息。
“思科Psirt不知道对漏洞的恶意使用。”
每日swbeplay2018官网ig已联系Florian Hauser进行进一步评论,如果我们收到答复,将更新文章。
