思科修復存在于 Webex、IP 攝像頭和 ISE 中三個高嚴重性漏洞

思科已在其Webex視頻會議系統，視頻監控8000系列IP攝像機和身份服務引擎中解決了三個高嚴重性漏洞和11個中嚴重性漏洞。

這些漏洞中最嚴重的漏洞是思科視頻監控8000系列IP攝像機中的遠程執行代碼和拒絕服務問題。

該漏洞被跟蹤為遠程執行代碼和拒絕服務漏洞，CVSS評分為8.8（滿分10）。

“針對Cisco Video Surveillance 8000系列IP攝像機的Cisco發現協議實現中的漏洞可能允許未經身份驗證的相鄰攻擊者在受影響的設備上執行任意代碼，或導致設備重新加載。” 閱讀Cisco的安全公告。

“此漏洞是由于IP攝像機處理Cisco發現協議數據包時缺少檢查而引起的。”

攻擊者可以通過將惡意的Cisco發現協議數據包發送到易受攻擊的設備來利用此漏洞。該漏洞可能使攻擊者可以通過強制設備意外重新加載來在受影響的IP攝像機上執行代碼或觸發DoS條件，從而導致拒絕服務（DoS）條件。

思科還解決了其Webex平臺中的一個嚴重級別為CVE-2020-3535的漏洞，該漏洞是由運行時對目錄路徑的錯誤處理引起的。

經過身份驗證的本地攻擊者可以利用此漏洞加載惡意庫，專家指出，要利用此漏洞，攻擊者需要Windows系統上的有效憑據。

“該漏洞是由于在運行時對目錄路徑的不正確處理造成的。攻擊者可以通過將惡意DLL文件放置在目標系統上的特定位置來利用此漏洞。該文件將在有漏洞的應用程序啟動時執行。” 閱讀思科發布的建議。“成功利用漏洞可以使攻擊者利用另一個用戶帳戶的特權在目標系統上執行任意代碼。”

該漏洞影響適用于Windows的Cisco Webex Teams 3.0.13464.0至3.0.16040.0版本，IT巨人證實此問題不影響適用于Android，Mac或iPhone和iPad的Webex Teams。

跟蹤為CVE-2020-3467的第三個高嚴重性漏洞位于Cisco Identity Services Engine（ISE）的基于Web的管理界面中。

ISE是一種工具，可用于為連接到公司網絡設備的端點設備創建和實施安全性和訪問策略。該漏洞允許經過身份驗證的遠程攻擊者修改受影響設備上的部分配置。

“該漏洞是由于在基于Web的管理界面中不正確實施基于角色的訪問控制（RBAC）所致。攻擊者可以通過向受影響的設備發送特制的HTTP請求來利用此漏洞。成功利用此漏洞可能使攻擊者修改部分配置。修改后的配置可能允許未經授權的設備進入網絡，或者阻止授權的設備訪問網絡。” 根據Cisco的咨詢報告，“要利用此漏洞，攻擊者將需要有效的只讀管理員憑據。”

好消息是，思科產品安全事件響應團隊（PSIRT）沒有意識到利用上述漏洞的攻擊。