Trellix宣布发现思科网络设备的两个主要漏洞

据telecompaper网2月2日报道，Trellix今天宣布发现了两个影响一系列思科网络设备的重要漏洞，其中一个漏洞可能构成潜在的硬件供应链风险。

Trellix指出，该公司在Cisco ISR4431路由器中发现了一个命令注入(CVE-2023-20076)和一个路径遍历（Cisco bug IDC SCwc67015）漏洞。这两个漏洞还影响思科的其他设备，包括800系列工业ISR、CGR1000计算模块、IC3000工业计算网关、配置了IOx的基于IOSXE的设备、IR510WPAN工业路由器和思科Catalyst接入点(COS-AP)。研究人员指出，CVE-2023-20076漏洞可能允许攻击者几乎完全控制受影响设备的操作系统，并允许管理员直接在设备上部署应用进程容器或虚拟机(VM)。此命令注入可以绕过思科通过重启和系统重置实施的防御措施。

另一个漏洞也是在应用进程托管环境中发现的。CSC wc67015漏洞是Trellix去年披露的Python tarfile漏洞的新版本。研究人员发现，恶意打包的应用可以在解压缩上传应用进程时绕过重要的安全检查。