Cisco 已针对影响其 Smart Licensing Utility 的两个关键安全漏洞发布了安全更新,这些漏洞可能允许未经身份验证的远程攻击者提升其权限或访问敏感信息。
这两个漏洞的简要描述如下 -
-
CVE-2024-20439(CVSS 评分:9.8)- 存在管理帐户的未记录静态用户凭据,攻击者可利用该凭据登录受影响的系统,详细见:
-
https://avd.aliyun.com/detail?id=AVD-2024-20439
-
CVE-2024-20440(CVSS 评分:9.8)- 由于调试日志文件过于冗长而引起的漏洞,攻击者可利用该漏洞通过构建的 HTTP 请求访问此类文件,并获取可用于访问 API 的凭据,详细见:
-
https://avd.aliyun.com/detail?id=AVD-2024-20440
目前这个漏洞的利用情况还未公布,等拿到第一时间公布。
虽然这些缺点的成功并不相互依赖,但 Cisco 在其咨询中指出,它们“除非 Cisco Smart Licensing Utility 由用户启动并积极运行,否则它们不可被利用。
在内部安全测试期间发现的缺陷也不会影响 Smart Software Manager On-Prem 和 Smart Software Manager Satellite 产品。
建议 Cisco Smart License Utility 版本 2.0.0、2.1.0 和 2.2.0 的用户更新到固定版本。该软件的 2.3.0 版不易受到该错误的影响。
Cisco 还发布了更新,以解决其身份服务引擎 (ISE) 中的命令注入漏洞,该漏洞可能允许经过身份验证的本地攻击者在底层操作系统上运行任意命令并将权限提升到 root。
该漏洞被跟踪为 CVE-2024-20469(CVSS 评分:6.0),要求攻击者在受影响的设备上拥有有效的管理员权限。
“这个漏洞是由于对用户提供的输入验证不足,”该公司表示。“攻击者可以通过提交精心设计的 CLI 命令来利用此漏洞。成功利用此漏洞可让攻击者将权限提升到 root。
它影响以下版本 -
-
思科 ISE 3.2(3.2P7 - 2024 年 9 月)
-
思科 ISE 3.3(3.3P4 - 2024 年 10 月)
该公司还警告说,概念验证 (PoC) 漏洞利用代码可用,尽管它不知道该漏洞有任何恶意利用。
来源:【黑客新闻网】
原文始发于微信公众号(船山信安):Cisco 修复 Smart Licensing Utility 中的两个关键缺陷以防止远程攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论