思科修补了67个关键CVE漏洞,包括在AnyConnect安全移动客户端和RV110W、RV130、RV130W和RV215W小型企业路由器中发现的漏洞。思科面向零售商的智能Wi-Fi解决方案中存在一个非常严重的漏洞,可能允许远程攻击者更改受影响系统上任何用户的帐户密码。该漏洞是思科周三发布的针对67个高严重性CVE的一系列补丁的一部分,其中包括在思科AnyConnect安全移动客户端和思科RV110W、RV130、RV130W和RV215W小型企业路由器中发现的漏洞。最严重的漏洞存在于CiscoConnectedMobileExperiences(CMX)中,这是一种零售商用于业务或现场客户体验分析的软件解决方案。该解决方案使用思科无线基础设施从零售商的Wi-Fi网络收集大量数据,包括实时客户位置跟踪。例如,如果客户使用CMX连接到商店的Wi-Fi网络,零售商就可以跟踪他们在店内的位置,观察他们的行为,并在他们在店内时为他们提供特别优惠或促销活动。该漏洞(CVE-2021-1144)是由于更改密码的授权检查处理不当造成的,在CVSS漏洞严重性等级中的评分为8.8(满分10)。值得注意的是,要利用此漏洞,攻击者必须拥有经过身份验证的CMX帐户,但不需要管理权限。“一旦通过身份验证,这些没有管理权限的攻击者就可以通过向受影响的设备发送修改后的HTTP请求来利用此漏洞,”思科表示。成功的利用可能允许攻击者更改系统上的任何用户,包括管理用户。),然后模拟该用户。”管理员拥有多种权限,包括使用文件传输协议(FTP)命令备份和恢复CiscoCMX上的数据,以及获得凭证访问权限(以解锁锁定的用户帐户))。这漏洞影响CiscoCMX版本10.6.0、10.6.1和10.6.2,并在CiscoCMX10.6.3及更高版本中修复。另一个严重漏洞(CVE-2021-1237)存在于CiscoAnyConnectSecureMobilityClientforWindows.AnyConnectSecureMobilityClient是一款模块化端点软件产品,可为端点提供范围广泛的安全服务(例如远程访问、网络安全功能和漫游保护)。该漏洞允许经过身份验证的本地攻击者执行动态链接库(DLL)注入攻击。思科表示,要利用该漏洞,攻击者需要在Windows系统上拥有有效凭据。“攻击者可以通过在系统的特定路径插入配置文件来利用此漏洞,从而在应用程序启动时加载恶意DLL文件,”思科表示。执行任意代码。”60个CVE位于CiscoSmallBusinessRV110W、RV130、RV130W和RV215W路由器的Web管理界面中。这些漏洞可能允许经过身份验证的远程攻击者执行任意代码或导致受影响的设备意外重启。思科表示:“攻击者可以通过向受影响的设备发送精心设计的HTTP请求来利用这些漏洞。”成功利用这些漏洞可能允许攻击者以root身份在底层操作系统上执行任意代码,或导致设备重启。负载,导致拒绝服务(DoS)状态。”此外,五个CVE(CVE-2021-1146、CVE-2021-1147、CVE-2021-1148、CVE-2021-1149和CVE-2021-1150)可能允许经过身份验证的远程攻击者注入以root权限执行的任意命令。值得注意的是,思科表示不会发布CiscoSmallBusinessRV110W、RV130、RV130W和RV215W路由器的软件更新,因为它们已达到使用寿命。思科表示:“思科尚未发布也不会发布软件更新来解决这些漏洞本咨询中描述的。CiscoSmallBusinessRV110W、RV130、RV130W和RV215W路由器已进入生命周期终止过程。”本文翻译自:https://threatpost.com/cisco-flaw-cmx-software-retailers/163027/如转载请注明原文地址。
