V aplikácii Cisco Security Manager sa vyskytujú tri zraniteľnosti. Na dve z nich vydala spoločnosť záplatu.
23.11.2020Spoločnosť Cisco vydala záplatu na dve z troch objavených zraniteľností v aplikácii Cisco Security Manager. Obe opravené zraniteľnosti môžu útočníkovi umožniť neoprávnený prístup k citlivým údajom. Posledná neopravená zraniteľnosť sa týka Java funkcie, ktorá slúži na deserializáciu obsahu dodávaného používateľom. V prípade zneužitia je útočník schopný vzdialene vykonávať kód.
Dôsledky
- Vzdialené vykonávanie príkazov
- Získanie prístupu k citlivým údajom
Opis činnosti
CVE-2020-27130, CVE-2020-27125, CVE-2020-27131
Všetky tri zraniteľnosti sa týkajú aplikácie Cisco Security Manager, ktorá slúži na správu zabezpečenia koncových staníc. Ponúka možnosť spravovať politiky zabezpečenia, riešiť bezpečnostné incidenty a tiež spravovať širokú škálu zariadení.
Zraniteľnosť CVE-2020-27130 bola zaradená medzi kritické, pričom jej CVSS skóre dosahuje hodnotu 9.1. Chyba sa týka nesprávneho overenia sekvencií znakov v požiadavkách smerovaných na dotknuté zariadenia. Jej zneužitie môže umožniť vzdialeným neautentifikovaným útočníkom prístup k citlivým údajom. Bola zverejnená funkčná ukážka zneužitia tejto zraniteľnosti.
Jednou zo závažných zraniteľností je CVE-2020-27125, pričom jej CVSS skóre je 7.4. Vyplýva z nedostatočnej ochrany prihlasovacím údajov v softvéri Cisco Security Manager. Táto chyba môže umožniť útočníkovi prístup k rôznym údajom.
Voči týmto dvom chybám je zraniteľný softvér Cisco Security Manager verzie nižšej ako 4.22.
Závažná zraniteľnosť CVE-2020-27131 sa vyskytuje v Java funkcii slúžiacej na deserializáciu a jej CVSS skóre je 8.1. Táto chyba súvisí s nezabezpečenou deserializáciou obsahu dodávaného používateľom softvérom Cisco Security Manager. Úspešným zneužitím je neautentifikovaný útočník schopný vzdialene vykonávať ľubovoľné príkazy s oprávneniami „NT AUTHORITY\SYSTEM“ na zraniteľnom zariadení. Spoločnosť Cisco plánuje opravu tejto zraniteľnosti vo verzii 4.23.
Zraniteľné systémy
- Cisco Security Manager verzie nižšej ako 4.22 (zraniteľné voči CVE-2020-27130 a CVE-2020-27125)
- Cisco Security Manager verzie nižšej ako 4.23 (zraniteľné voči CVE-2020-27131)
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie príkazov
Únik informácií
Odporúčania
Bezodkladná aktualizácia softvéru Cisco Security Manager na najnovšiu dostupnú verziu.
Odkazy
https://thehackernews.com/2020/11/researcher-discloses-critical-rce-flaws.html
https://www.securityweek.com/cisco-patches-publicly-disclosed-vulnerabilities-security-manager
https://threatpost.com/critical-cisco-flaw-sensitive-data/161305/
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD
<< zoznam oznámení