思科修复存在于 Webex、IP 摄像头和 ISE 中三个高严重性漏洞

Andrew 2020-10-10
专栏 - 资讯 发布于 2020-10-10 10:11:01 阅读 55 评论 0

思科已在其Webex视频会议系统,视频监控8000系列IP摄像机和身份服务引擎中解决了三个高严重性漏洞和11个中严重性漏洞。

这些漏洞中最严重的漏洞是思科视频监控8000系列IP摄像机中的远程执行代码和拒绝服务问题。

该漏洞被跟踪为远程执行代码和拒绝服务漏洞,CVSS评分为8.8(满分10)。

“针对Cisco Video Surveillance 8000系列IP摄像机的Cisco发现协议实现中的漏洞可能允许未经身份验证的相邻攻击者在受影响的设备上执行任意代码,或导致设备重新加载。” 阅读Cisco的安全公告。

“此漏洞是由于IP摄像机处理Cisco发现协议数据包时缺少检查而引起的。”

攻击者可以通过将恶意的Cisco发现协议数据包发送到易受攻击的设备来利用此漏洞。该漏洞可能使攻击者可以通过强制设备意外重新加载来在受影响的IP摄像机上执行代码或触发DoS条件,从而导致拒绝服务(DoS)条件。

思科还解决了其Webex平台中的一个严重级别为CVE-2020-3535的漏洞,该漏洞是由运行时对目录路径的错误处理引起的。

经过身份验证的本地攻击者可以利用此漏洞加载恶意库,专家指出,要利用此漏洞,攻击者需要Windows系统上的有效凭据。

“该漏洞是由于在运行时对目录路径的不正确处理造成的。攻击者可以通过将恶意DLL文件放置在目标系统上的特定位置来利用此漏洞。该文件将在有漏洞的应用程序启动时执行。” 阅读思科发布的建议。“成功利用漏洞可以使攻击者利用另一个用户帐户的特权在目标系统上执行任意代码。”

该漏洞影响适用于Windows的Cisco Webex Teams 3.0.13464.0至3.0.16040.0版本,IT巨人证实此问题不影响适用于Android,Mac或iPhone和iPad的Webex Teams。

跟踪为CVE-2020-3467的第三个高严重性漏洞位于Cisco Identity Services Engine(ISE)的基于Web的管理界面中。

ISE是一种工具,可用于为连接到公司网络设备的端点设备创建和实施安全性和访问策略。该漏洞允许经过身份验证的远程攻击者修改受影响设备上的部分配置。

“该漏洞是由于在基于Web的管理界面中不正确实施基于角色的访问控制(RBAC)所致。攻击者可以通过向受影响的设备发送特制的HTTP请求来利用此漏洞。成功利用此漏洞可能使攻击者修改部分配置。修改后的配置可能允许未经授权的设备进入网络,或者阻止授权的设备访问网络。” 根据Cisco的咨询报告,“要利用此漏洞,攻击者将需要有效的只读管理员凭据。”

好消息是,思科产品安全事件响应团队(PSIRT)没有意识到利用上述漏洞的攻击。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!