聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞位于思科的身份服务引擎 (ISE) 解决方案中。ISE 是基于身份的网络访问控制和策略执行软件,供用户在企业环境中进行网络设备管理和端点访问控制。
该OS命令注入漏洞是由对用户提供输入的验证不充分导致的。本地攻击者可通过在复杂度低的无需用户交互的攻击中提交恶意构造CLI命令的方式利用该漏洞。然而,正如思科解释的那样,威胁行动者只有在未修复系统上已经拥有管理员权限的前提下才能成功利用该漏洞。
思科在本周三发布的安全公告中提到,“思科ISE的特定CLI命令中存在一个漏洞,可导致认证的本地攻击者在底层操作系统上执行命令注入攻击并将权限提升至根。思科产品安全应急响应团队发现已存在针对公告中所提漏洞的 PoC 利用代码。”
Cisco ISE 发布 | 首次修复的发布 |
3.1 及更早版本 | 不受影响 |
3.2 | 3.2P7(2024年9月) |
3.3 | 3.3P4(2024年10月) |
3.4 | 不受影响 |
截止到目前,思科并未发现该漏洞在野利用的证据。
思科在今天提醒客户称已删除Smart Licensing Utility (智能许可工具)Windows 软件中的一个后门账户,可被攻击者用于以管理员权限登录未修复系统。
4月份,思科发布 Integrated Management Controller(IMC,集成管理控制器)漏洞CVE-2024-20295的安全补丁。该漏洞的 PoC 已存在,可导致本地攻击者将权限提升至根。另外一个严重漏洞 (CVE-2024-20401) 可导致威胁行动者们添加恶意根用户并通过恶意邮件使安全邮件网关 (SEG) 设备崩溃,已在上个月修复。就在同一周,思科提醒用户注意,易受攻击的Cisco Smart Software Manager On-Prem(Cisco SSM On-Prem,思科本地智能软件管理器)许可服务器中存在一个满分漏洞,可导致攻击者修改任何用户密码,包括管理员密码在内。
https://www.bleepingcomputer.com/news/security/cisco-fixes-root-escalation-vulnerability-with-public-exploit-code/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~