Cisco telah mengungkapkan kerentanan keamanan kritis yang memengaruhi perangkat lunak Cisco Security Manager, bersama dengan dua kerentanan tingkat keparahan tinggi lainnya dalam produk tersebut.
Cisco telah menandai bahwa tiga kerentanan keamanan tersebut telah diperbaiki dalam versi 4.22 dari Cisco Security Manager, yang dirilis minggu lalu.
Cisco Security Manager merupakan perangkat lunak untuk membantu administrator mengelola kebijakan keamanan pada perangkat keamanan Cisco dan menyediakan firewall Cisco, VPN, perangkat Adaptive Security Appliance (ASA), perangkat Firepower, dan switch serta router lainnya.
Masalah paling serius yang diatasi dalam rilisan versi 4.22 adalah kerentanan path-traversal, dilacak sebagai CVE-2020-27130, yang memungkinkan penyerang tanpa kredensial bisa mengunduh file dari perangkat yang terpengaruh dari jarak jauh.
Masalah keamanan itu ditandai sebagai kerentanan dengan tingkat keparahan 9.1 dari 10, memengaruhi rilis Cisco Security Manager 4.21 dan versi yang lebih lawas.
“Kerentanan ini disebabkan oleh validasi yang tidak tepat dari urutan karakter directory traversal dalam permintaan ke perangkat yang terpengaruh. Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan permintaan yang dibuat ke perangkat yang terpengaruh,” Cisco menjelaskan dalam advisory yang mereka terbitkan.
Perusahaan tersebut tampaknya menerbitkan advisory setelah Florian Hauser dari perusahaan keamanan Code White, yang melaporkan kerentanan tersebut ke Cisco, menerbitkan kode eksploitasi proof-of-concept (PoC) untuk 12 kerentanan yang memengaruhi Cisco Security Manager.
Hauser, yang menggunakan akun Twitter @frycos, mengatakan dalam sebuah tweet bahwa dia melaporkan 12 kerentanan yang mempengaruhi antarmuka web Cisco Security Manager pada 13 Juli 2020.
Dia mengatakan dia memutuskan untuk merilis PoC karena Cisco tidak menyebutkan kerentanan dalam catatan rilis 4.22 dan belum menerbitkan advisory keamanan.
Since Cisco PSIRT became unresponsive and the published release 4.22 still doesn't mention any of the vulnerabilities, here are 12 PoCs in 1 gist:https://t.co/h31QO5rmde https://t.co/xyFxyp7cJr
— frycos (@frycos) November 16, 2020
Baca Juga: “Cisco Perbaiki Kerentanan Kritis Eksekusi Kode Dalam Jabber Untuk Windows“
“Beberapa kerentanan pre-auth dikirimkan ke Cisco pada 2020-07-13 dan (menurut Cisco) diperbaiki dalam versi 4.22 pada 2020-11-10. Catatan rilis tidak menyatakan apa pun tentang kerentanan, advisory keamanan pun tidak dipublikasikan. Semua payload diproses dalam konteks NT AUTHORITY\SYSTEM,” tulisnya.
Diantaranya adalah beberapa kerentanan dalam fungsi deserialisasi Java dari Cisco Security Manager, yang memungkinkan penyerang jarak jauh tanpa kredensial untuk menjalankan perintah pilihan mereka pada perangkat yang terpengaruh.
Sayangnya, Cisco belum memperbaiki kerentanan deserialisasi Java ini di rilis 4.22 tetapi berencana untuk memperbaikinya di rilis 4.23 berikutnya. Cisco juga mengatakan tidak ada solusi dan belum mencantumkan mitigasi apa pun yang dapat digunakan hingga perbaikan tiba.
Masalah ini memengaruhi rilis 4.21 dan versi-versi sebelumnya dan memiliki tingkat keparahan 8.1 dari 10. Cisco mengeluarkan pengenal CVE-2020-27131 untuk kerentanan, yang disebabkan oleh deserialisasi konten.
“Penyerang dapat mengeksploitasi kerentanan ini dengan mengirimkan objek Java serial yang berbahaya ke listener tertentu di sistem yang terpengaruh. Eksploitasi yang berhasil dapat memungkinkan penyerang untuk menjalankan perintah arbitrer pada perangkat dengan hak istimewa NT AUTHORITY\SYSTEM pada host target Windows,” Cisco menjelaskan.
Kerentanan ketiga yang memengaruhi rilis Cisco Security Manager 4.21 dan versi-versi sebelumnya, dilacak sebagai CVE-2020-27125, dapat memungkinkan penyerang untuk melihat kredensial statis yang tidak terlindungi secara memadai pada perangkat lunak yang terpengaruh. Kredensial dapat dilihat oleh penyerang dengan melihat source-code.
Masalah keamanan ini memiliki tingkat keparahan 7.1, telah diperbaiki dalam rilisan 4.22.
Tim Respons Insiden Keamanan Produk (PSIRT) Cisco mengatakan pihaknya mengetahui pengumuman publik tentang kerentanan ini. Namun, masih tidak diketahui apakah ada yang mengeksploitasi kerentanan-kerentanan tersebut atau belum.
