8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

Cisco 6月多个安全缝隙

颁布功夫 2021-06-04

0x00 缝隙概述

2021年06月02日，，，，，，，，Cisco颁布安全布告，，，，，，，，建复了蕴含Webex Player、SD-WAN 软件和 ASR 5000 系列软件中的多个安全缝隙，，，，，，，，攻击者能够通过利用这些缝隙提升权限或在受影响的系统上执行肆意代码。。。。。。。。

0x01 缝隙详情

在本次建复的高危缝隙中，，，，，，，，CVE-2021-1503、CVE-2021-1526和CVE-2021-1502都是Cisco Webex中的内存败坏缝隙，，，，，，，，CVSS评分均为7.8。。。。。。。。由于对高级录造体式 (ARF) 或 Webex 录造体式 (WRF) 的 Webex 录造文件中的值验证不及，，，，，，，，攻击者能够通过链接或电子邮件附件向用户发送恶意 ARF 或 WRF 文件并诱导用户打开该文件来利用这些缝隙，，，，，，，，最终导致攻击者使用指标用户的权限在受影响的系统上执行肆意代码。。。。。。。。

CVE-2021-1528是Cisco SD-WAN 软件CLI 中的一个提权缝隙，，，，，，，，CVSS评分为7.8，，，，，，，，由于受影响的软件没有正确限度对特权过程的接见，，，，，，，，经过身份验证的本地攻击者能够通过挪用受影响系统中的特权过程来利用此缝隙，，，，，，，，最终可能使用root用户的权限执行操作。。。。。。。。

CVE-2021-1539和CVE-2021-1540是Cisco ASR 5000 系列软件 (StarOS) 授权过程中的缝隙，，，，，，，，CVSS评分别离为8.1和6.5。。。。。。。。由于非交互式 CLI 号令的谬误授权，，，，，，，，攻击者能够通过向受影响的设备发送恶意SSH要求来利用此缝隙，，，，，，，，最终经过身份验证的远程攻击者可能绕过 TACACS 授权或nocli 授权，，，，，，，，并在受影响的设备上执行 CLI 号令。。。。。。。。

CVE-ID	类型	影响	影响领域
CVE-2021-1502	验证不及、内存败坏	肆意代码执行	Windows 和 macOS 版： Cisco Webex Network Recording Player及41.4版本之前的Cisco Webex Player
CVE-2021-1503			Windows 和 macOS 版： Cisco Webex Network Recording Player及41.2版本之前的Cisco Webex Player
CVE-2021-1526			Windows 和 MacOS 版： 41.5版本之前的 Cisco Webex Player
CVE-2021-1528	接见限度不当	权限提升	运行Cisco　SD-WAN 软件版本20.4、20.5的以下产品： SD-WAN vBond Orchestrator Software SD-WAN vEdge Cloud Routers SD-WAN vEdge Routers SD-WAN vManage Software SD-WAN vSmart Controller Software
CVE-2021-1539	授权谬误	TACACS 授权绕过	运行Cisco　StarOS 版本（21.16之前版本、21.16、21.17、21.18、21.19、21.19.n、21.20）的以下Cisco产品： ASR 5000 Series Aggregation Services Routers Virtualized Packet Core – Distributed Instance (VPC-DI) Virtualized Packet Core – Single Instance (VPC-SI)
CVE-2021-1540	授权谬误	nocli 授权绕过

0x02 措置建议

目前Cisco已经建复了这些缝隙，，，，，，，，建议参考官方安全布告实时升级更新：

参考衔接：

https://tools.cisco.com/security/center/publicationListing.x

0x03 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asr5k-autho-bypass-mJDF5S7n

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-player-kOf8zVT

https://securityaffairs.co/wordpress/118564/security/cisco-webex-player-sd-wan-asr-5000-flaws.html?

0x04 功夫线

2021-06-02 Cisco颁布安全布告

2021-06-04 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】