Cisco ADSM 中的零日 RCE 尚未修復

思科自適應安全設備管理器 (ASDM) 提供了一個基于 Web 的本地界面，允許客戶管理思科自適應安全設備 (ASA) 防火墻和 Cisco AnyConnect 安全移動客戶端。

該漏洞影響 9.16.1 及更早版本的 ADSM 軟件版本。

“思科自適應安全設備管理器 (ASDM) 啟動器中的一個漏洞可能允許未經身份驗證的遠程攻擊者在用戶的操作系統上執行任意代碼。

此漏洞是由于對 ASDM 和 Launcher 之間交換的特定代碼缺乏適當的簽名驗證。攻擊者可以通過利用網絡上的中間人位置來攔截 Launcher 和 ASDM 之間的流量，然后注入任意代碼來利用此漏洞。” 閱讀最初的咨詢。“成功的利用可能允許攻擊者使用分配給 ASDM Launcher 的權限級別在用戶的操作系統上執行任意代碼。成功的利用可能需要攻擊者執行社會工程攻擊，以說服用戶發起從 Launcher 到 ASDM 的通信。”

思科確認它計劃解決此漏洞，并且沒有解決此問題的變通方法。

好消息是，思科產品安全事件響應小組 (PSIRT) 不知道針對此缺陷的概念驗證漏洞的公開可用性或在野外利用它的攻擊。