思科修复高严重性脚本执行和VPN劫持漏洞

X0_0X2024-03-11 11:37:04
思科于2024年3月6日修复了思科安全客户端VPN应用程序中的关键安全漏洞。立即更新以保护您的VPN连接免遭凭证盗窃、未经授权的访问和潜在的代码执行。该通报还详细介绍了思科小型企业无线接入点中未修补的缺陷。



网络设备巨头思科已经解决了影响其安全客户端企业VPN应用和端点安全解决方案的关键安全缺陷。供您参考,Secure Client广泛用于建立安全的虚拟专用网络(VPN)连接。周三,思科发布了针对高严重性漏洞CVE-2024-20337(CVSS评分:8.2)和CVE-2024-20338(CVSS评分:7.3)的补丁。


CVE-2024-20337是一个回车换行(CRLF)注入漏洞,允许攻击者在配置了SAML外部浏览器功能的浏览器中执行脚本代码或访问敏感信息。


该缺陷影响Linux、macOS和Windows版本的Secure Client,并可在CRLF注入攻击中被利用。CRLF注入是攻击者将CR和LF字符注入Web应用程序的漏洞,添加额外的标头或导致浏览器忽略原始内容。


未经身份验证的远程攻击者可以执行任意脚本或窃取敏感信息(例如用户的有效SAML身份验证令牌),以使用受影响用户的权限建立远程访问VPN会话。然而,思科在其公告中指出,单个主机和服务需要额外的凭据才能成功访问。


亚马逊安全研究员Paulos Yibelo Mesfin发现了此缺陷,并已在版本4.10.04065、4.10.08025、5.0和5.1.2.42中修复。


CVE-2024-20338仅影响Linux版思科安全客户端,其成功利用需要身份验证。它只能被经过身份验证的本地攻击者利用。该漏洞允许攻击者以root权限在受影响的设备上执行任意代码。他们可以将恶意库文件复制到特定目录并说服管理员重新启动特定进程。


思科建议企业管理员升级到修复版本之一,因为VPN应用程序的5.1.2.42版本解决了该错误。


思科已宣布针对AppDynamics控制器以及Windows登录和RDP的Duo身份验证中的多个中度严重缺陷发布补丁,这些缺陷可能导致数据泄露和二次身份验证绕过。这家科技巨头还警告称,思科小型企业100、300和500系列无线接入点(AP)中存在两个缺陷,分别为CVE-2024-20335和CVE-2024-20336。


这些缺陷允许远程攻击者以root用户身份执行任意代码。然而,思科不会修补它们,因为他们的无线AP已达到生命周期结束阶段。同样,出于同样的原因,中等严重程度的缺陷也将保持未修补状态。此外,思科指出,它不知道任何这些漏洞正在被利用。


思科强调需要保持网络安全警惕并采用安全最佳实践。其中包括定期更新软件、使用强密码和多因素身份验证、对可疑链接保持谨慎,以及优先选择值得信赖的Wi-Fi网络来进行敏感VPN连接。

信息安全思科
本作品采用《CC 协议》,转载必须注明作者和本文链接
8月27日,北京网络安全大会(BCS 2021)产业峰会线上启幕,来自全球多个国家和地区的网络安全行业专家展开对话。与会专家指出,要保障信息化系统与安全体系深度融合,应转变网络安全保障思维,实现治理先行、同步发展。
美国国家安全局发布量子密码FAQ,疯狂暗示不用担心量子计算机破解当前公钥密码体制。
近日,国家信息安全漏洞库(CNNVD)收到关于Cisco IOS Software和IOS XE Software输入验证漏洞(CNNVD-201803-1022、CVE-2018-0171)、Cisco IOS Software和IOS XE Software quality of service子系统缓冲区错误漏洞(CNNVD-201803-1038、CVE-2018-0151)、Cisco
根据以上综述,本周安全威胁为中。报告显示,XSS漏洞占了报告的所有漏洞的18%,总计获得了420万美元的奖金。此外,不当访问控制漏洞所获得的奖金额度比去年同比增长134%,高达到400万美元,其次是信息披露漏洞,同比增长63%。原文链接: 2、Pulse Secure发布企业推进零信任网络的分析报告 Pulse Secure发布了有关企业推进零信任网络的分析报告。企业管理协会副总Shamus McGillicuddy表示,企业显然正在加快采取零信任网络的步伐。
工业信息安全快讯(11月)
根据国家信息安全漏洞库统计,2021年8月份采集安全漏洞共1911个。合计1633个漏洞已有修复补丁发布,本月整体修复率85.45%。截至2021年08月31日,CNNVD采集漏洞总量已达167566个。总体来看,本月整体修复率,由上月的88.29%下降至本月的85.45%。
近日,国家信息安全漏洞库(CNNVD)收到关于Cisco IOS XE Software安全漏洞(CNNVD-202310-1209、CVE-2023-20198)情况的报送。未经身份验证的远程攻击者可以利用该漏洞创建具有最高访问权限的账户,进而控制受影响的系统。
2021年11月29日-2021年12月05日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
2021年9月13日-2021年9月19日 本周漏洞态势研判情况本周信息安全漏洞威胁整体评价级别为中。
X0_0X
暂无描述