思科软件中被曝出现严重高危的硬编码漏洞

翻译：360代码卫士团队

昨天思科发布了22条安全公告，包括两条针对重要修复方案的警报，其中一个是针对硬编码的修复方案。攻击者可利用这个硬编码完全控制易受攻击系统。

硬编码密码问题影响思科的软件应用 PCP (Prime Collaboration Provisioning)，该应用用于远程安装并维护其它思科语音和视频产品。思科 PCP 通常安装在 Linux 服务器上。

思科公司表示，攻击者能通过这个硬编码经由 SSH连接到受影响的系统，从而利用这个漏洞 (CVE-2018-0141)。

这个漏洞仅可遭本地攻击者利用，也可使攻击者获得访问低权限用户账户的权限。尽管如此，思科将这个漏洞的安全等级定为“严重高危 (critical)”。

思科指出，“虽然这个漏洞的 CVSS 评分是5.9即属于中危级别，但由于在某些情况下可导致攻击者将权限提升为根权限，因此将其评为‘严重高危’。”

攻击者能感染位于同一网络中的其它设备，并将其作为 SSH 连接易受攻击思科 PCP 实例的代理，从而导致攻击者实施远程攻击。

另外，存在大量可供攻击者利用并获取根权限的影响 Linux 操作系统的权限提升利用代码。因此，思科将漏洞评为“高危”，尽管 CVSS 评分仅有5.9。

思科表示，目前并不存在缓解措施和权变措施供网络管理员部署以阻止对 老旧 PCP 软件的利用，而且思科已发布补丁供 PCP 所有人尽快安装。

思科在昨天的安全公告中还修复了另外一个严重高危漏洞。这个漏洞是 Java 反序列化漏洞，影响思科的安全访问控制系统 (ACS)，这个防火墙系统目前已遭弃用。

这个漏洞是典型的 Java 反序列化漏洞。当思科 ACS 试图反序列化用户提供的（Java 序列化的）内容时，攻击者能够在无需提供正确凭证的情况下在设备上执行代码。该恶意代码以根权限运行。

这个漏洞的 CVE 编号是 CVE -2018-0147，思科已发布相关更新。

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。