思科身份服务引擎(ISE)中发现多个安全漏洞,包括命令注入、访问绕过和XSS攻击,允许合法授权用户发起攻击。最严重的漏洞CVE-2022-20964可能导致攻击者获得rootshell。研究人员警告,补丁将在2023年第一季度发布,而PoC可能会在补丁发布后公开。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科身份服务引擎 (ISE) 中存在多个漏洞,可导致远程攻击者注入任意命令、绕过已有安全防护措施,或执行跨站点脚本 (XSS) 攻击。
思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统,可使管理员控制端点访问权限并管理网络设备。
Yoroi 公司的安全研究员 Davide Virruso在 ISE 中共发现4个漏洞,利用这些漏洞均要求攻击者是该ISE系统的合法和授权用户。其中最重要的漏洞是CVE-2022-20964,它是位于 ISE web管理接口 tcpdump 特性中的命令注入漏洞。该高危漏洞存在的原因在于用户输入并未得到正确验证。
思科在安全公告中解释称,“具有访问tcpdump特性权限的攻击者可通过操纵基于web管理接口的请求来利用该漏洞,以控制操作系统命令。”成功利用该漏洞可使攻击者在底层操作系统上执行任意命令。如与其它漏洞组合利用,则可导致攻击者将权限提升至root并可能接管易受攻击的系统。
Virruso 提到,思科低估了CVE-2022-20964在机密性、完整性和可用性方面的影响,因为该漏洞可被用于在操作系统上获得root shell。结合利用CVE-2022-20964和CVE-2022-20959(思科在10月份修复的ISE XSS漏洞),攻击者可轻松在易受攻击系统上获得远程 root shell,“受害者只要点击一下链接,就可使攻击者以系统root用户身份获得shell”。
第二个漏洞CVE-2022-20965是位于 web 管理接口中的访问绕过漏洞。该漏洞扩展了串联exploit的攻击面,使很多用户暴露到攻击中。研究人员解释称,利用该漏洞,“认证的远程攻击者能够下载由该函数生成的文件,从而导致用户无法访问的信息遭暴露。”
余下的漏洞CVE-2022-20966和CVE-2022-20967可导致XSS攻击。这两个漏洞分别位于web 管理接口的 tcpdump 和 External RADIUS Server 特性中。攻击者可利用这些漏洞在该应用光接口中存储恶意HTML或脚本代码,并利用该代码执行XSS攻击。
思科指出,补丁将在2023年的第一季度发布,将以思科ISE 3.1p6和3.2p1的形式发布。思科鼓励客户获取热补丁并表示正在评估ISE版本2.7和3.0的补丁发布。
VIrruso 表示,将在明年发布这些漏洞的PoC。思科在安全公告中提醒称,补丁发布后,该PoC将很可能发布。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
原文链接
https://www.securityweek.com/cisco-ise-vulnerabilities-can-be-chained-one-click-exploit
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
