思科修補Secure FMC兩個滿分漏洞
漏洞概述
思科(Cisco)本週釋出安全更新,以修補防火牆管理軟體Secure FMC(Secure Firewall Management Center)兩個風險值10.0的漏洞。兩項漏洞皆為風險值滿分(CVSS分數為10.0)的重大漏洞,攻擊者若能成功利用,可能獲得對企業防火牆的完全控制權。
漏洞位置與風險
這兩個漏洞皆發生在Secure FMC的Web管理介面中,若管理介面暴露在網際網路上,風險將大幅增加。根據官方公告,漏洞根源在於系統對來自網絡的輸入數據流處理不當,特別是對用戶提供的Java字節流缺乏安全驗證。
攻擊影響與後續建議
- 攻擊者可能繞過身份驗證,並在受影響裝置上執行腳本,從而取得對底層作業系統的控制權。
- 若系統配置為使用RADIUS進行身份驗證,攻擊者可能透過特定條件觸發漏洞,進而執行遠端指令或取得系統權限。
- 思科已發布修補更新,但沒有提供暫時性緩解方案,呼籲企業必須儘速安裝新版本軟體。