CVE-2020-27125、CVE-2020-27130 和 CVE-2020-27131：思科安全管理器预身份验证漏洞被披露

在漏洞概念验证 (PoC) 代码被公布之后，思科发布三份公告，报告了最近更新中默默修复的多个漏洞。企业应立即使用补丁修复这些漏洞。

背景

11 月 16 日，思科发布公告，报告了思科安全管理器中的三个漏洞。思科安全管理器是一种用于监视和管理各种思科设备的工具，这些设备包括思科自适应安全设备、思科集成服务路由器、防火墙服务模块，Catalyst 系列交换机和 IPS 系列传感器设备等。Code White 公司安全研究员 Florian Hauser 发现并披露了这些漏洞。

Hauser 最初在 11 月 11 日发布了关于这些漏洞的推文，推文称，他披露了思科的“12 个漏洞”，这些漏洞会影响思科安全管理器的“网络界面”。他指出，他披露的所有漏洞均无身份验证，并且“几乎所有漏洞都直接提供 RCE（远程代码执行）”。

120 days ago, I disclosed 12 vulnerabilities to @Cisco affecting the web interface of Cisco Security Manager. All unauthenticated, almost all directly giving RCE. #cisco #RCE #unauth

— frycos (@frycos) November 11, 2020

5 天后的 11 月 16 日，Hauser 发推 称，思科的产品安全事件响应团队 (PSIRT)“反应迟钝”，因为所谓思科安全管理器修复版并未提及他的披露，因此他决定公布针对 12 个漏洞的概念验证 (PoC) 代码。

Since Cisco PSIRT became unresponsive and the published release 4.22 still doesn't mention any of the vulnerabilities, here are 12 PoCs in 1 gist:https://t.co/h31QO5rmde https://t.co/xyFxyp7cJr

— frycos (@frycos) November 16, 2020

据报道，三份公告涉及至少 12 个漏洞

尽管 Hauser 在推文中描述了 12 个漏洞，但其中的两个通用漏洞披露 (CVE) CVE-2020-27130 和 CVE-2020-27131 包含了多个漏洞，因此就 CVE 而言，并未直接一一对应。

分析

CVE-2020-27125 是思科安全管理器中的一个静态凭证漏洞。未经身份验证的远程攻击者可以通过查看文件的源代码来获取静态凭据。攻击得手后，攻击者将利用这些静态凭据“实施进一步的攻击”。这个漏洞的 CVSSv3 得分为 7.4（总分为 10.0）。

CVE-2020-27130 是思科安全管理器中一个关键路径遍历漏洞。未经身份验证的远程攻击者可以向易受攻击的设备发送一个特制的请求，其中包含路径遍历字符序列（例如“../../”）。攻击得手后，攻击者将能任意下载和上传文件到设备。这个漏洞的 CVSSv3 得分为 9.1（总分为 10.0）。

CVE-2020-27131 名下包括思科安全管理器中 Java 反序列化功能中的多个漏洞。利用这个漏洞，未经身份验证的远程攻击者可以使用 ysoerial.net 等工具生成恶意的序列化 Java 对象，并将其作为特制请求的一部分发送给易受攻击的设备。攻击得手后，攻击者将能作为设备的 NT AUTHORITY\SYSTEM 用户，拥有任意代码执行权限。这个漏洞的 CVSSv3 得分为 8.1（总分为 10.0）。

研究引用了此前 Tenable 零日研究团队的披露

在针对 CVE-2020-27131 发布的概念验证 (PoC) 中，Hauser 引用了 TRA-2017-23，这是 Tenable 零日研究团队 2017 年的一个漏洞披露，其针对思科安全管理器和思科主局域网管理解决方案中的反序列化远程代码执行漏洞。

概念验证

11 月 16 日，Hauser 发推公布了一个 GitHub 链接，其中包含他向披露的思科漏洞的概念验证。这些概念验证包括使用 ysoserial 工具生成序列化 Java 对象的例子。这些概念验证包括使用 ysoserial 工具生成序列化 Java 对象的例子。

解决方案

Cisco 针对 CVE-2020-27125 和 CVE-2020-27130 发布补丁。但是，针对 CVE-2020-271131 的补丁尚未发布。下表提供了受影响的版本和可用的修复程序。

11 月 17 日，Hauser 发推称，修复“确实已实现”，还“需要进一步测试”，补丁包有望在“未来几周”内发布。

Just had a good call with Cisco! The missing vulnerability fixes were indeed implemented as well but need some further testing. SP1 will be released in the next few weeks. We found a good mode of collaboration now. https://t.co/b8mNxnu11K

— frycos (@frycos) November 17, 2020

思科安全管理器 4.23 版可用后，我们将更新本文。思科尚未针对这些漏洞提供任何解决方案或缓解措施。思科称，在发布有关公告时，他们并未意识到这些漏洞被在野利用。安全事件响应团队强烈建议运行思科安全管理器的客户尽快升级到最新的修复版本。

识别受影响的系统

用于识别这些漏洞的 Tenable 插件列表在发布时将显示在此处。

获取更多信息

• CVE-2020-27125：思科安全管理器静态凭证漏洞
• CVE-2020-27130：思科安全管理器路径遍历漏洞
• CVE-2020-27131：思科安全管理器 Java 反序列化的漏洞
• Florian Hauser 针对思科安全管理器漏洞的概念验证
• TRA-2017-23 - 思科安全管理器和主要 LMS Java 反序列化远程代码执行

加入 Tenable Community 中的 Tenable 安全响应团队

了解有关 Tenable 这款首创 Cyber Exposure 平台的更多信息，全面管理现代攻击面。

获取 30 天免费试用 Tenable.io 漏洞管理平台的机会。