【漏洞通告】Cisco多个安全漏洞
发布时间 2021-01-140x00 漏洞概述
2021年01月13日,Cisco发布安全公告,公开了其多个产品中的67个漏洞补丁,这些漏洞涉及AnyConnect安全移动客户端、RV110W、RV130、RV130W和RV215W小型企业路由器及Cisco互联移动体验(CMX)等。
0x01 漏洞详情
Cisco互联移动体验权限升级漏洞(CVE-2021-1144)
该漏洞存在于思科互联移动体验(CMX)中,是对更改密码的授权检查处理不当导致的,其CVSS评分8.8。经过身份验证的攻击者可以通过发送恶意HTTP请求来利用此漏洞。成功利用此漏洞的攻击者可以更改系统上任何用户(包括管理用户)的密码来冒充该用户。但要利用此漏洞,攻击者必须拥有经过身份验证的CMX帐户。
影响范围
Cisco CMX版本10.6.0、10.6.1和10.6.2
修复版本
10.6.3及更高版本
Cisco AnyConnect Secure Mobility Client for Windows DLL 注入漏洞(CVE-2021-1237)
模块化端点软件产品AnyConnect Secure Mobility Client为端点提供了广泛的安全服务,如远程访问、Web安全功能和漫游保护。
该漏洞存在于Windows版Cisco AnyConnect安全移动客户端的网络访问管理器和Web安全代理组件中,是应用程序对运行时加载的资源验证不足导致的,其CVSS评分7.8。攻击者可以通过在系统的特定路径中插入配置文件来利用此漏洞,从而导致应用程序启动时加载恶意的DLL文件。成功利用此漏洞的攻击者可以使用SYSTEM权限在受影响的计算机上执行任意代码。但要利用此漏洞,攻击者需要在Windows系统上具有有效的凭据。
影响范围
Cisco AnyConnect Secure Mobility Client for Windows 4.9.04043之前的版本
修复版本
Cisco AnyConnect Secure Mobility Client for Windows 4.9.04043及更高版本
此外,思科小型企业RV110W、RV130、RV130W和RV215W路由器中存在5个命令注入漏洞(CVE-2021-1146、CVE-2021-1147、CVE-2021-1148、CVE-2021-1149和CVE-2021-1150),远程攻击者可以通过利用这些漏洞注入任意命令。
除上述漏洞外,思科小型企业RV110W、RV130、RV130W和RV215W还存在60个漏洞,攻击者可以通过向受影响的设备发送恶意的HTTP请求来利用这些漏洞,成功利用这些漏洞的攻击者能够以root用户身份在底层操作系统上执行任意代码、导致设备重新加载或拒绝服务。
0x02 处置建议
建议参考Cisco官方发布的安全公告升级至最新版本。
下载链接:
https://software.cisco.com/download/find
0x03 参考链接
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-injec-pQnryXLf
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmxpe-75Asy9k
https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/
0x04 时间线
2021-01-13 Cisco发布安全更新
2021-01-14 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/