思科 Security Manager 12个0day PoC 被公开，多个严重 0day仍未修复

思科似乎是 PoC 被曝之后才发布安全公告，披露了一个严重的漏洞和另外两个高危漏洞，并表示两个漏洞已在版本4.22中修复，而严重漏洞（CVE-2020-27131）并未修复。

思科 Security Manager 是一款企业级的安全管理应用程序，用于了解和控制思科安全设备和网络设备。思科 Security Manager 为广泛的思科安全设备提供全面的安全管理服务（配置和事件管理），如思科 ASA Adaptive Security Appliances、思科 IPS Series Sensor Appliances、思科 Integrated Services Routers (ISRs)、思科 Firewall Services Modules (FWSMs)、思科 Catalyst、思科交换机、路由器等等。思科 Security Manager 可使用户管理大小不一的所有网络，从小型网络到由数千台设备组成的大规模网络等等不一而足。

CVE-2020-27130是思科 Security Manager 修复的最严重的漏洞，路径遍历漏洞。它可导致远程攻击者在无需凭据的情况下从受影响设备中下载文件。该漏洞的 CVSS 评分为9.1，影响思科 Security Manager 4.21及之前版本。

思科在安全公告中指出，“该漏洞是因为对受影响设备发送请求中目录遍历字符序列（如 ../../）的不当验证造成的。攻击者可通过向受影响设备发送构造请求的方式利用该漏洞。”

CVE-2020-27125是另外一个已修复的漏洞，影响 4.21版本及之前版本，可导致攻击者查看受影响软件中保护不充分的静态凭据。攻击者只要查看源代码就能发现这些凭据。该漏洞的评分为7.1，已在4.22版本中修复。

Hauser 在所披露的漏洞中包括多个位于思科 Security Manager Java 反序列化函数中的漏洞，可导致远程攻击者在无需凭据的情况下在所选受影响设备上执行命令。

这些漏洞影响4.21及之前版本，CVSS 评分为8.1分，获得的CVE 编号是 CVE-2020-27131，是因对用户所提供内容的反序列化不安全造成的。思科解释称，“攻击者可向受影响系统上某个特定的监听器发送恶意序列化的 Java 对象，利用这些漏洞。成功的 exploit 可导致攻击者以 Windows 目标主机上的 NT AUTHORITY\SYSTEM 权限执行任意命令。”

遗憾的是，思科并未在4.22版本中修复这些 Java 反序列化漏洞，不过计划在4.23版本中修复。

思科还表示目前不存在针对所有这些漏洞的应变措施且并未提供任何缓解措施，只能等待补丁发布。

思科表示，目前尚未发现这些漏洞遭恶意利用的证据。

思科的一名发言人指出，“11月16日，思科修复了所报告的 CSM 漏洞。这12个漏洞已通过个4思科漏洞 ID 进行追踪和解决。思科已发布免费的软件更新，解决了 CSM 路径遍历漏洞安全公告和 CSM 静态凭据漏洞安全公告中描述的漏洞。思科将尽快发布免费的安全更新，修复 CSM Java 反序列化漏洞安全公告中提到的漏洞。请客户从安全公告中获取完整详情。思科产品安全事件响应团队 (PSIRT) 并未发现公告中所列漏洞遭恶意使用的情况。”

今天，Hauser 发布推文表示，修复方案“确实已执行”，思科“需要进一步测试”，Service Pack 版本预计将在“未来几周时间内发布”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。