思科身份服务引擎安全漏洞概述

关键要点

• 思科的身份服务引擎（ISE）存在四个安全漏洞。
• 漏洞可能导致任意命令注入、绕过安全保护和跨站脚本攻击。
• 最严重的漏洞CVE-2022-20964，可利用其进行任意命令执行。
• 研究人员指出该漏洞可与已修复的XSS漏洞CVE-2022-20959结合使用，用户只需点击一个链接即可获取系统根用户的shell。
• 思科计划在2023年第一季度发布修复程序，但客户可以先行获取热修复。

根据的报道，思科的身份服务引擎（ISE）受到四个安全缺陷的影响，这些缺陷可能导致任意命令注入、绕过安全措施以及跨站脚本攻击。

据思科表示，最严重的漏洞被标记为CVE-2022-20964，攻击者可以利用它来执行任意命令。此外，Yoroi的安全研究员DavideVirruso指出，这个漏洞可以与一个已经修复的XSS漏洞（CVE-2022-20959）结合使用，从而在易受攻击的系统上获得远程根shell。Virruso强调：“只需受害者点击链接一次，就可以获得系统根用户的shell。”

此外，攻击者还可以利用基于Web的管理界面访问绕过漏洞（CVE-2022-20965）来扩大链式攻击的范围，并触发信息泄露。同时，CVE-2022-20966和CVE-2022-20967也可能被滥用，以实现XSS攻击。

思科计划在2023年第一季度发布这些漏洞的修复程序。不过，客户现在已经能够获取到热修复，从而能够尽早保护他们的系统。