《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 思科漏洞PoC公布后發(fā)現(xiàn)漏洞利用

思科漏洞PoC公布后發(fā)現(xiàn)漏洞利用

2021-07-02
來源:嘶吼專業(yè)版
關(guān)鍵詞: 思科 漏洞

  CVE-2020-3580漏洞PoC公布后發(fā)現(xiàn)漏洞利用。

  2020年10月21日,Cisco發(fā)布了安全公告和安全補丁以解決Cisco Adaptive Security Appliance (ASA) 和Firepower Threat Defense (FTD)軟件web服務(wù)中的4個XSS漏洞,分別是 CVE-2020-3580、 CVE-2020-3581、 CVE-2020-3582、 CVE-2020-3583。2021年4月,Cisco更新了該漏洞的安全公告,稱漏洞補丁修復(fù)并不完整。CVE-2020-3580漏洞CVSS評分6.1分,是Cisco ASA軟件和FTD 軟件中的漏洞,未授權(quán)的遠(yuǎn)程攻擊者利用該漏洞可以在受影響的設(shè)備上發(fā)起XSS攻擊。

  6月24日,Positive Technologies研究人員在推特發(fā)布了CVE-2020-3580漏洞的PoC 漏洞利用。

微信圖片_20210702214415.jpg

隨后,Positive Technologies研究人員Mikhail Klyuchnikov也發(fā)布了關(guān)于該漏洞的推特。Tenable也接收到攻擊者利用CVE-2020-3580漏洞在野攻擊的報告。

微信圖片_20210702214421.jpg

  這4個漏洞 存在的原因是Cisco ASA 和FTD軟件和web服務(wù)沒有對用戶輸入進(jìn)行有效性驗證。為利用這些漏洞,攻擊者需要用戶點擊一個精心偽造的鏈接。成功利用允許攻擊者在端口內(nèi)執(zhí)行任意代碼,訪問敏感的基于瀏覽器的信息。

  漏洞只影響特定的AnyConnect和WebVPN配置,包括:

微信圖片_20210702214740.jpg

漏洞PoC如下所示:

微信圖片_20210702214744.jpg




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。