思科安全管理器（Cisco Security Manager）是一個企業級安全管理應用程序，可監控和管理思科的安全和網絡設備，包括Cisco ASA自適應安全設備、Cisco IPS系列傳感器設備、Cisco集成服務路由器（ISR）、Cisco防火墻服務模塊（FWSM）、Cisco Catalyst、Cisco交換機等等。

　　近日，威脅情報和滲透測試公司Code White的安全研究員Florian Hauser在思科安全管理器中共發現了十二個漏洞，其中包括關鍵路徑遍歷漏洞、高風險的靜態憑證錯誤和多個嚴重的Java反序列化漏洞，其中大多數可直接導致遠程代碼執行（RCE）。

　　據悉，思科修復了安全管理器4.2.2版本中的前兩個漏洞。思科同時表示將為4.2.3版本中的Java反序列化漏洞提供修復程序，但當前并沒有提供任何解決方法。

　　網絡安全公司Tenable的安全響應經理Rody Quinlan說，“這些漏洞相對容易利用”。并指出：“攻擊者有可能利用多種攻擊媒介來控制受影響的系統?！?/p>

　　考慮到這些漏洞的潛在影響巨大，Hauser在創建PoC（概念驗證）后四個月便放棄了，Quinlan警告說：“當安全更新發布時，企業應當立刻對漏洞進行修補，否則在接下來的幾周內，甚至幾天內，就會發生野外攻擊?！?/p>

　　Quinlan表示，路徑遍歷漏洞可以使攻擊者通過發送特制的目錄遍歷請求，將任意文件下載并上傳到易受攻擊的設備，而靜態憑據漏洞則使攻擊者“可以查看文件的源代碼并獲取憑據，可以在進一步的攻擊中加以利用。

　　同時，Java反序列化漏洞要求攻擊者發送惡意序列化Java對象作為特制請求的一部分，從而導致使用NT Authority/SYSTEM特權執行任意代碼”。

　　Hauser表示，他于7月13日首先警告思科注意該漏洞，并被告知補丁已于11月10日部署到Security Manager 4.22版本。于是，Hauser于11月16日公開披露了他的研究成果，但由于Cisco PSIRT“反應遲鈍”，4.22版居然“沒有提及任何漏洞”。

　　但是隨后，在同一天，Cisco在針對CVE-2020-27125、CVE-2020-27130和CVE-2020-27131的三個漏洞的安全公告中承認了Hauser的貢獻。據Hauser透露，其余漏洞的SP1安全補丁有望在數周內發布。