Cisco | Security Manager多个安全漏洞通告

发布时间 2020-11-17

0x00 漏洞概述

2020年11月16日,Cisco发布安全通告,Security Manager中存在多个安全漏洞。漏洞追踪为CVE-2020-27125、CVE-2020-27130和CVE-2020-27131。

 

0x01 漏洞详情

 

image.png

Cisco Security Manager为Cisco安全管理器,它可将策略配置任务和针对Cisco安全部署的控制措施进行集中处理,从而高效地管理企业安全。

本次发布的漏洞详情如下:

 

产品

CVE   ID

漏洞名称

评分

严重程度

Cisco   Security Manager

CVE-2020-27125

Cisco Security   Manager静态证书漏洞

7.4

高危

CVE-2020-27130

Cisco Security   Manager路径遍历漏洞

9.1

严重

CVE-2020-27131

Cisco Security   Manager Java反序列化漏洞

8.1

高危

 

影响范围:

Cisco Security Manager 4.21及之前版本。

 

Cisco Security Manager静态证书漏洞(CVE-2020-27125)

该漏洞是静态凭据没有提供足够的保护造成的,攻击者可以通过查看源代码来利用此漏洞。成功利用此漏洞的攻击者可以查看静态凭据等敏感信息,并利用凭据进行攻击。

漏洞详情如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

 

Cisco Security Manager路径遍历漏洞(CVE-2020-27130)

该漏洞是设备对请求中的目录遍历字符序列的验证不正确造成的。攻击者可以通过向受影响的设备发送恶意请求来利用此漏洞。成功利用此漏洞可能使攻击者在受影响的设备上下载任意文件。

漏洞详情如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

 

Cisco Security Manager Java反序列化漏洞(CVE-2020-27131

Cisco Security Manager使用的Java反序列化功能中存在多个安全漏洞。这些漏洞使得用户提供的内容被不安全地反序列化。攻击者可以通过将恶意的序列化Java对象发送给受影响的系统上的特定侦听器来利用这些漏洞。成功利用此漏洞可能使攻击者在目标Windows主机上使用NT AUTHORITY\SYSTEM(内置系统管理账户)权限在设备上实行任意命令。

漏洞详情如下:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD?

 

0x02 处置建议

目前Cisco已在Cisco Security Manager 4.22中修复了CVE-2020-27125和CVE-2020-27130,建议及时更新。

Cisco计划在Cisco Security Manager 4.23中修复CVE-2020-27131及其它Java反序列化功能中的漏洞。

下载地址:

https://software.cisco.com/download/find

 

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27131

 

0x04 时间线

2020-11-16  Cisco发布安全公告

2020-11-17  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/


 

image.png