0x01 事件簡述
2020年11月19日,360CERT監測發現
Cisco官方
釋出了
多個嚴重漏洞
的風險通告,漏洞編号為
CVE-2020-27130,CVE-2020-3531,CVE-2020-3586,CVE-2020-3470
,事件等級:
嚴重
,事件評分:
9.8
。
本次通告中共計4處嚴重漏洞,攻擊者可利用這些漏洞
獲得任意檔案
、
執行任意指令
、
控制相關裝置行為
對此,360CERT建議廣大使用者及時将
Cisco相關元件
更新到最新版本。與此同時,請做好資産自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
| 威脅等級 | 嚴重 |
| 影響面 | 一般 |
| 360CERT評分 | 9.8 |
0x03 漏洞詳情
CVE-2020-27130: 目錄穿越漏洞
思科安全管理器中存在一處目錄穿越漏洞。該漏洞是由于裝置對請求中目錄字元串的驗證不足而造成的。
未授權的攻擊者通過向受影響的裝置發送特制的請求包,可使攻擊者從受影響的裝置下載下傳任意檔案。
CVE-2020-3531: 驗證繞過漏洞
Cisco IoT Field Network Director(FND)的REST API中存在一處驗證繞過漏洞。該漏洞是由于受影響的軟體無法正确驗證REST API通路權限而造成的。
未授權的攻擊者通過擷取跨站點請求僞造(CSRF)令牌并發送特制請求包,可通路受影響系統的後端資料接口,并擷取敏感資料及裝置操作權限。
CVE-2020-3586: 指令注入漏洞
思科DNA空間連接配接器Web管理頁面中存在一處指令注入漏洞。該漏洞是由于在Web的管理界面中對使用者輸入的驗證不足而造成的。
未授權的遠端攻擊者通過向受影響的伺服器發送特制的請求包,可造成任意指令執行。
CVE-2020-3470: 代碼執行漏洞
思科內建管理控制器(IMC)的API子系統中的存在多處遠端代碼執行漏洞。該漏洞是由于對使用者輸入内容驗證不足而造成的。
未授權的攻擊者通過向受影響的系統發送特制的請求包,可以root權限(系統最高權限)執行任意代碼。
0x04 影響版本
-
cisco:dna_space_connector
: <2.3
-
cisco:imc
: UCS S-Series/UCS C-Series/UCS E-Series/5000 Series ENCS/
-
cisco:iot_field_network_director
: <4.6.1
-
cisco:security_manager
: <=4.21
0x05 修複建議
通用修補建議
通過 Cisco (思科)的許可證對相應的系統進行更新
第三方采購使用者通過以下連結獲得相關支援
Cisco 支援服務
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
0x06 産品側解決方案
360城市級網絡安全監測服務
360CERT的安全分析人員利用360安全大腦的QUAKE資産測繪平台(quake.360.cn),通過資産測繪技術的方式,對該漏洞進行監測。可聯系相關産品區域負責人或(quake#360.cn)擷取對應産品。
360安全分析響應平台
360安全大腦的安全分析響應平台通過網絡流量檢測、多傳感器資料融合關聯分析手段,對該類漏洞的利用進行實時檢測和阻斷,請使用者聯系相關産品區域負責人或(shaoyulong#360.cn)擷取對應産品。
0x07 時間線
2020-11-16 Cisco釋出目錄穿越漏洞2020-11-18 Cisco釋出指令/代碼執行漏洞2020-11-19 360CERT釋出通告 0x08 參考連結
1、 Cisco官方通告
https://tools.cisco.com/security/center/publicationListing.x
0x09 特制報告下載下傳連結
一直以來,360CERT對全球重要網絡安全事件進行快速通報、應急響應。為更好地為政企使用者提供最新漏洞以及資訊安全事件的安全通告服務,現360CERT正式推出安全通告特制版報告,以便使用者做資料留存、傳閱研究與查詢驗證。使用者可直接通過以下連結進行特制報告的下載下傳。
Cisco 多個嚴重漏洞通告
http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】Cisco_多個嚴重漏洞通告.pdf
若有訂閱意向與定制需求請掃描下方二維碼進行資訊填寫,或發送郵件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手機号、地區、郵箱位址。