思科ISE多个漏洞可用于一次点击exploit
编译:代码卫士
思科ISE是基于身份的网络访问控制 (NAC) 和策略执行系统,可使管理员控制端点访问权限并管理网络设备。
Yoroi 公司的安全研究员 Davide Virruso在 ISE 中共发现4个漏洞,利用这些漏洞均要求攻击者是该ISE系统的合法和授权用户。其中最重要的漏洞是CVE-2022-20964,它是位于 ISE web管理接口 tcpdump 特性中的命令注入漏洞。该高危漏洞存在的原因在于用户输入并未得到正确验证。
思科在安全公告中解释称,“具有访问tcpdump特性权限的攻击者可通过操纵基于web管理接口的请求来利用该漏洞,以控制操作系统命令。”成功利用该漏洞可使攻击者在底层操作系统上执行任意命令。如与其它漏洞组合利用,则可导致攻击者将权限提升至root并可能接管易受攻击的系统。
Virruso 提到,思科低估了CVE-2022-20964在机密性、完整性和可用性方面的影响,因为该漏洞可被用于在操作系统上获得root shell。结合利用CVE-2022-20964和CVE-2022-20959(思科在10月份修复的ISE XSS漏洞),攻击者可轻松在易受攻击系统上获得远程 root shell,“受害者只要点击一下链接,就可使攻击者以系统root用户身份获得shell”。
第二个漏洞CVE-2022-20965是位于 web 管理接口中的访问绕过漏洞。该漏洞扩展了串联exploit的攻击面,使很多用户暴露到攻击中。研究人员解释称,利用该漏洞,“认证的远程攻击者能够下载由该函数生成的文件,从而导致用户无法访问的信息遭暴露。”
余下的漏洞CVE-2022-20966和CVE-2022-20967可导致XSS攻击。这两个漏洞分别位于web 管理接口的 tcpdump 和 External RADIUS Server 特性中。攻击者可利用这些漏洞在该应用光接口中存储恶意HTML或脚本代码,并利用该代码执行XSS攻击。
思科指出,补丁将在2023年的第一季度发布,将以思科ISE 3.1p6和3.2p1的形式发布。思科鼓励客户获取热补丁并表示正在评估ISE版本2.7和3.0的补丁发布。
VIrruso 表示,将在明年发布这些漏洞的PoC。思科在安全公告中提醒称,补丁发布后,该PoC将很可能发布。
监控软件厂商勾结互联网服务提供商感染iOS和安卓用户
微软在预装安卓应用中发现重大安全缺陷
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
安卓修复已遭在野利用的内核 0day 漏洞
https://www.securityweek.com/cisco-ise-vulnerabilities-can-be-chained-one-click-exploit
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。