因Cisco ASA和FTD软件在设备生产时集成,根据用户使用习惯未能实时的升级,可能导致攻击者利用该漏洞实施攻击。
一、漏洞情况
近日,Cisco更新了思科自适应安全软件(ASA)和Firepower威胁防御(FTD)软件跨站脚本漏洞的风险通告,漏洞CVE编号:CVE-2020-3580。其报告中指出该漏洞存在在野利用,且漏洞利用代码已公开。因Cisco ASA和FTD软件在设备生产时集成,根据用户使用习惯未能实时的升级,可能导致攻击者利用该漏洞实施攻击。建议受影响用户及时将Cisco ASA和FTD软件升级至最新版进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、漏洞等级
三、漏洞描述
Cisco ASA软件、FTD软件是运行在Cisco设备上的通用软件,主要用于服务用户防御和监控网络内部的攻击。
攻击者可通过构造特制的链接诱使用户点击,成功利用该漏洞即可窃取用户浏览器中的设备管理凭据,进而接管网络中的Cisco设备。
四、影响范围
Cisco ASA Software 9.6
Cisco ASA Software 9.7
Cisco ASA Software 9.8
Cisco ASA Software 9.9
Cisco ASA Software 9.10
Cisco ASA Software 9.12
Cisco ASA Software 9.13
Cisco ASA Software 9.14
Cisco ASA Software 9.15
Cisco FTD Software 6.2.2
Cisco FTD Software 6.2.3
Cisco FTD Software 6.3.0
Cisco FTD Software 6.4.0
Cisco FTD Software 6.5.0
Cisco FTD Software 6.6.0
Cisco FTD Software 6.7.0
五、安全建议
六、参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-xss-multiple-FCB3vPZe
支持单位:
北京奇虎科技有限公司
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]。
相关资讯