鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Cisco 6月多个清静误差

宣布时间 2021-06-04

0x00 误差概述

2021年06月02日，，，，，Cisco宣布清静通告，，，，，修复了包括Webex Player、SD-WAN 软件和 ASR 5000 系列软件中的多个清静误差，，，，，攻击者可以通过使用这些误差提升权限或在受影响的系统上执行恣意代码。。。。。。

0x01 误差详情

在本次修复的高危误差中，，，，，CVE-2021-1503、CVE-2021-1526和CVE-2021-1502都是Cisco Webex中的内存损坏误差，，，，，CVSS评分均为7.8。。。。。。由于对高级录制名堂 (ARF) 或 Webex 录制名堂 (WRF) 的 Webex 录制文件中的值验证缺乏，，，，，攻击者可以通过链接或电子邮件附件向用户发送恶意 ARF 或 WRF 文件并诱导用户翻开该文件来使用这些误差，，，，，最终导致攻击者使用目的用户的权限在受影响的系统上执行恣意代码。。。。。。

CVE-2021-1528是Cisco SD-WAN 软件CLI 中的一个提权误差，，，，，CVSS评分为7.8，，，，，由于受影响的软件没有准确限制对特权历程的会见，，，，，经由身份验证的外地攻击者可以通过挪用受影响系统中的特权历程来使用此误差，，，，，最终能够使用root用户的权限执行操作。。。。。。

CVE-2021-1539和CVE-2021-1540是Cisco ASR 5000 系列软件 (StarOS) 授权历程中的误差，，，，，CVSS评分划分为8.1和6.5。。。。。。由于非交互式 CLI 下令的过失授权，，，，，攻击者可以通过向受影响的装备发送恶意SSH请求来使用此误差，，，，，最终经由身份验证的远程攻击者能够绕过 TACACS 授权或nocli 授权，，，，，并在受影响的装备上执行 CLI 下令。。。。。。

CVE-ID	类型	影响	影响规模
CVE-2021-1502	验证缺乏、内存损坏	恣意代码执行	Windows 和 macOS 版： Cisco Webex Network Recording Player及41.4版本之前的Cisco Webex Player
CVE-2021-1503			Windows 和 macOS 版： Cisco Webex Network Recording Player及41.2版本之前的Cisco Webex Player
CVE-2021-1526			Windows 和 MacOS 版： 41.5版本之前的 Cisco Webex Player
CVE-2021-1528	会见限制不当	权限提升	运行Cisco　SD-WAN 软件版本20.4、20.5的以下产品： SD-WAN vBond Orchestrator Software SD-WAN vEdge Cloud Routers SD-WAN vEdge Routers SD-WAN vManage Software SD-WAN vSmart Controller Software
CVE-2021-1539	授权过失	TACACS 授权绕过	运行Cisco　StarOS 版本（21.16之前版本、21.16、21.17、21.18、21.19、21.19.n、21.20）的以下Cisco产品： ASR 5000 Series Aggregation Services Routers Virtualized Packet Core – Distributed Instance (VPC-DI) Virtualized Packet Core – Single Instance (VPC-SI)
CVE-2021-1540	授权过失	nocli 授权绕过

0x02 处置惩罚建议

现在Cisco已经修复了这些误差，，，，，建议参考官方清静通告实时升级更新：

参考毗连：

https://tools.cisco.com/security/center/publicationListing.x

0x03 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asr5k-autho-bypass-mJDF5S7n

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-player-kOf8zVT

https://securityaffairs.co/wordpress/118564/security/cisco-webex-player-sd-wan-asr-5000-flaws.html?

0x04 时间线

2021-06-02 Cisco宣布清静通告

2021-06-04 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】