思科安全管理器（Cisco Security Manager）是一個企業(yè)級安全管理應用程序，可監(jiān)控和管理思科的安全和網(wǎng)絡設備，包括Cisco ASA自適應安全設備、Cisco IPS系列傳感器設備、Cisco集成服務路由器（ISR）、Cisco防火墻服務模塊（FWSM）、Cisco Catalyst、Cisco交換機等等。

　　近日，威脅情報和滲透測試公司Code White的安全研究員Florian Hauser在思科安全管理器中共發(fā)現(xiàn)了十二個漏洞，其中包括關鍵路徑遍歷漏洞、高風險的靜態(tài)憑證錯誤和多個嚴重的Java反序列化漏洞，其中大多數(shù)可直接導致遠程代碼執(zhí)行（RCE）。

　　據(jù)悉，思科修復了安全管理器4.2.2版本中的前兩個漏洞。思科同時表示將為4.2.3版本中的Java反序列化漏洞提供修復程序，但當前并沒有提供任何解決方法。

　　網(wǎng)絡安全公司Tenable的安全響應經(jīng)理Rody Quinlan說，“這些漏洞相對容易利用”。并指出：“攻擊者有可能利用多種攻擊媒介來控制受影響的系統(tǒng)。”

　　考慮到這些漏洞的潛在影響巨大，Hauser在創(chuàng)建PoC（概念驗證）后四個月便放棄了，Quinlan警告說：“當安全更新發(fā)布時，企業(yè)應當立刻對漏洞進行修補，否則在接下來的幾周內，甚至幾天內，就會發(fā)生野外攻擊?！?/p>

　　Quinlan表示，路徑遍歷漏洞可以使攻擊者通過發(fā)送特制的目錄遍歷請求，將任意文件下載并上傳到易受攻擊的設備，而靜態(tài)憑據(jù)漏洞則使攻擊者“可以查看文件的源代碼并獲取憑據(jù)，可以在進一步的攻擊中加以利用。

　　同時，Java反序列化漏洞要求攻擊者發(fā)送惡意序列化Java對象作為特制請求的一部分，從而導致使用NT Authority/SYSTEM特權執(zhí)行任意代碼”。

　　Hauser表示，他于7月13日首先警告思科注意該漏洞，并被告知補丁已于11月10日部署到Security Manager 4.22版本。于是，Hauser于11月16日公開披露了他的研究成果，但由于Cisco PSIRT“反應遲鈍”，4.22版居然“沒有提及任何漏洞”。

　　但是隨后，在同一天，Cisco在針對CVE-2020-27125、CVE-2020-27130和CVE-2020-27131的三個漏洞的安全公告中承認了Hauser的貢獻。據(jù)Hauser透露，其余漏洞的SP1安全補丁有望在數(shù)周內發(fā)布。