Trellix宣布發現思科網絡設備的兩個主要漏洞

據telecompaper網2月2日報道，Trellix今天宣布發現了兩個影響一系列思科網絡設備的重要漏洞，其中一個漏洞可能構成潛在的硬件供應鏈風險。

Trellix指出，該公司在Cisco ISR4431路由器中發現了一個命令注入(CVE-2023-20076)和一個路徑遍歷（Cisco bug IDC SCwc67015）漏洞。這兩個漏洞還影響思科的其他設備，包括800系列工業ISR、CGR1000計算模塊、IC3000工業計算網關、配置了IOx的基于IOSXE的設備、IR510WPAN工業路由器和思科Catalyst接入點(COS-AP)。研究人員指出，CVE-2023-20076漏洞可能允許攻擊者幾乎完全控制受影響設備的操作系統，并允許管理員直接在設備上部署應用進程容器或虛擬機(VM)。此命令注入可以繞過思科通過重啟和系統重置實施的防御措施。

另一個漏洞也是在應用進程托管環境中發現的。CSC wc67015漏洞是Trellix去年披露的Python tarfile漏洞的新版本。研究人員發現，惡意打包的應用可以在解壓縮上傳應用進程時繞過重要的安全檢查。