思科软件被曝出现高危硬编码漏洞

 

昨天思科发布了22条安全公告,包括两条针对重要修复方案的警报,其中一个是针对硬编码的修复方案。攻击者可利用这个硬编码完全控制易受攻击系统。

硬编码密码问题影响思科的软件应用 PCP (Prime Collaboration Provisioning),该应用用于远程安装并维护其它思科语音和视频产品。思科 PCP 通常安装在 Linux 服务器上。

思科公司表示,攻击者能通过这个硬编码经由 SSH连接到受影响的系统,从而利用这个漏洞 (CVE-2018-0141)。

 

“严重高危”的硬编码漏洞

这个漏洞仅可遭本地攻击者利用,也可使攻击者获得访问低权限用户账户的权限。尽管如此,思科将这个漏洞的安全等级定为“严重高危 (critical)”。

思科指出,“虽然这个漏洞的 CVSS 评分是5.9即属于中危级别,但由于在某些情况下可导致攻击者将权限提升为根权限,因此将其评为‘严重高危’。”

攻击者能感染位于同一网络中的其它设备,并将其作为 SSH 连接易受攻击思科 PCP 实例的代理,从而导致攻击者实施远程攻击。

另外,存在大量可供攻击者利用并获取根权限的影响 Linux 操作系统的权限提升利用代码。因此,思科将漏洞评为“高危”,尽管 CVSS 评分仅有5.9。

思科表示,目前并不存在缓解措施和权变措施供网络管理员部署以阻止对 老旧 PCP 软件的利用,而且思科已发布补丁供 PCP 所有人尽快安装。

 

思科 ACS 中存在严重的 Java 反序列化漏洞

思科在昨天的安全公告中还修复了另外一个严重高危漏洞。这个漏洞是 Java 反序列化漏洞,影响思科的安全访问控制系统 (ACS),这个防火墙系统目前已遭弃用。

这个漏洞是典型的 Java 反序列化漏洞。当思科 ACS 试图反序列化用户提供的(Java 序列化的)内容时,攻击者能够在无需提供正确凭证的情况下在设备上执行代码。该恶意代码以根权限运行。

这个漏洞的 CVE 编号是 CVE -2018-0147,思科已发布相关更新。

(完)