思科安全管理器（Cisco Security Manager）是一个企业级安全管理应用程序，可监控和管理思科的安全和网络设备，包括Cisco ASA自适应安全设备、Cisco IPS系列传感器设备、Cisco集成服务路由器（ISR）、Cisco防火墙服务模块（FWSM）、Cisco Catalyst、Cisco交换机等等。

　　近日，威胁情报和渗透测试公司Code White的安全研究员Florian Hauser在思科安全管理器中共发现了十二个漏洞，其中包括关键路径遍历漏洞、高风险的静态凭证错误和多个严重的Java反序列化漏洞，其中大多数可直接导致远程代码执行（RCE）。

　　据悉，思科修复了安全管理器4.2.2版本中的前两个漏洞。思科同时表示将为4.2.3版本中的Java反序列化漏洞提供修复程序，但当前并没有提供任何解决方法。

　　网络安全公司Tenable的安全响应经理Rody Quinlan说，“这些漏洞相对容易利用”。并指出：“攻击者有可能利用多种攻击媒介来控制受影响的系统。”

　　考虑到这些漏洞的潜在影响巨大，Hauser在创建PoC（概念验证）后四个月便放弃了，Quinlan警告说：“当安全更新发布时，企业应当立刻对漏洞进行修补，否则在接下来的几周内，甚至几天内，就会发生野外攻击。”

　　Quinlan表示，路径遍历漏洞可以使攻击者通过发送特制的目录遍历请求，将任意文件下载并上传到易受攻击的设备，而静态凭据漏洞则使攻击者“可以查看文件的源代码并获取凭据，可以在进一步的攻击中加以利用。

　　同时，Java反序列化漏洞要求攻击者发送恶意序列化Java对象作为特制请求的一部分，从而导致使用NT Authority/SYSTEM特权执行任意代码”。

　　Hauser表示，他于7月13日首先警告思科注意该漏洞，并被告知补丁已于11月10日部署到Security Manager 4.22版本。于是，Hauser于11月16日公开披露了他的研究成果，但由于Cisco PSIRT“反应迟钝”，4.22版居然“没有提及任何漏洞”。

　　但是随后，在同一天，Cisco在针对CVE-2020-27125、CVE-2020-27130和CVE-2020-27131的三个漏洞的安全公告中承认了Hauser的贡献。据Hauser透露，其余漏洞的SP1安全补丁有望在数周内发布。