聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

网络安全公司 Code White 的研究员 Florian Hauser表示，自己曾在今年7月13日也就是120天前向思科上报了影响思科Security Manager  (CSM) Web 接口的12个漏洞。但思科在4.22版本说明中并未提及这些漏洞且未发布安全公告，因此他公开了这些漏洞的 PoC。他指出，所有的 payload 均在 NT AUTHORITY\SYSTEM 上下文中处理。虽然他发布了12个漏洞的 PoC，但其中两个漏洞（CVE-2020-27130 和 CVE-2020-27131）是对多个漏洞的统称，因此无法直接一一对应PoC。

思科似乎是 PoC 被曝之后才发布安全公告，披露了一个严重的漏洞和另外两个高危漏洞，并表示两个漏洞已在版本4.22中修复，而严重漏洞（CVE-2020-27131）并未修复。

思科 Security Manager 简介

思科 Security Manager 是一款企业级的安全管理应用程序，用于了解和控制思科安全设备和网络设备。思科 Security Manager 为广泛的思科安全设备提供全面的安全管理服务（配置和事件管理），如思科 ASA Adaptive Security Appliances、思科 IPS Series Sensor Appliances、思科 Integrated Services Routers (ISRs)、思科 Firewall Services Modules (FWSMs)、思科 Catalyst、思科交换机、路由器等等。思科 Security Manager 可使用户管理大小不一的所有网络，从小型网络到由数千台设备组成的大规模网络等等不一而足。

已修复漏洞

CVE-2020-27130是思科 Security Manager 修复的最严重的漏洞，路径遍历漏洞。它可导致远程攻击者在无需凭据的情况下从受影响设备中下载文件。该漏洞的 CVSS 评分为9.1，影响思科 Security Manager 4.21及之前版本。

思科在安全公告中指出，“该漏洞是因为对受影响设备发送请求中目录遍历字符序列（如 ../../）的不当验证造成的。攻击者可通过向受影响设备发送构造请求的方式利用该漏洞。”

CVE-2020-27125是另外一个已修复的漏洞，影响 4.21版本及之前版本，可导致攻击者查看受影响软件中保护不充分的静态凭据。攻击者只要查看源代码就能发现这些凭据。该漏洞的评分为7.1，已在4.22版本中修复。

未修复的严重 0day

Hauser 在所披露的漏洞中包括多个位于思科 Security Manager Java 反序列化函数中的漏洞，可导致远程攻击者在无需凭据的情况下在所选受影响设备上执行命令。

这些漏洞影响4.21及之前版本，CVSS 评分为8.1分，获得的CVE 编号是 CVE-2020-27131，是因对用户所提供内容的反序列化不安全造成的。思科解释称，“攻击者可向受影响系统上某个特定的监听器发送恶意序列化的 Java 对象，利用这些漏洞。成功的 exploit 可导致攻击者以 Windows 目标主机上的 NT AUTHORITY\SYSTEM 权限执行任意命令。”

遗憾的是，思科并未在4.22版本中修复这些 Java 反序列化漏洞，不过计划在4.23版本中修复。

思科还表示目前不存在针对所有这些漏洞的应变措施且并未提供任何缓解措施，只能等待补丁发布。

思科表示，目前尚未发现这些漏洞遭恶意利用的证据。

思科的一名发言人指出，“11月16日，思科修复了所报告的 CSM 漏洞。这12个漏洞已通过个4思科漏洞 ID 进行追踪和解决。思科已发布免费的软件更新，解决了 CSM 路径遍历漏洞安全公告和 CSM 静态凭据漏洞安全公告中描述的漏洞。思科将尽快发布免费的安全更新，修复 CSM Java 反序列化漏洞安全公告中提到的漏洞。请客户从安全公告中获取完整详情。思科产品安全事件响应团队 (PSIRT) 并未发现公告中所列漏洞遭恶意使用的情况。”

今天，Hauser 发布推文表示，修复方案“确实已执行”，思科“需要进一步测试”，Service Pack 版本预计将在“未来几周时间内发布”。

推荐阅读

思科公开AnyConnect VPN 高危0day，exploit 代码已公开

思科警告：这个 IOS XR 0day 已遭利用，目前尚无补丁

联系未果后，思科曝光 Aspose API 的多个RCE 0day

原文链接

https://www.zdnet.com/article/cisco-reveals-this-critical-bug-in-cisco-security-manager-after-exploits-are-posted-patch-now/

https://gist.github.com/Frycos/8bf5c125d720b3504b4f28a1126e509e

https://thehackernews.com/2020/11/researcher-discloses-critical-rce-flaws.html

https://zh-cn.tenable.com/blog/cve-2020-27125-cve-2020-27130-cve-2020-27131-vulnerabilities-in-cisco-security-manager?tns_redirect=true

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~