Cisco Identity Services Engine(ISE)是思科公司提供的一款基于身份的环境感知平台。该平台通过实时收集网络、用户和设备的信息,制定并实施相应的策略来管理网络,能够有效识别网络攻击,并减轻复杂的访问管理压力。
在11月22日,思科发布了安全更新,修复了Cisco ISE中的特权升级等关键漏洞。以下是该漏洞的详细信息:
漏洞详情
来源:
CVE-2020-27122 CVSS评分:4.4 中等
Cisco ISE中与Microsoft Active Directory集成的漏洞可能允许经过身份验证的本地攻击者在受影响设备上提升特权。攻击者需要在受影响设备上拥有有效的管理员帐户才能利用此漏洞。
该漏洞源于错误的权限分配。攻击者可以通过特制的Active Directory帐户登录系统,从而利用此漏洞。成功利用该漏洞可能使攻击者在受影响设备上获得Root用户特权。
注意:仅配置为支持Active Directory身份验证的CLI的设备受此漏洞影响。默认情况下,Active Directory身份验证的CLI支持是禁用的。ISE中对Active Directory域服务或Active Directory证书服务的其他使用不受影响。
受影响产品
此漏洞影响思科ISE版本2.6和2.7。
为了利用此漏洞,具有管理员访问CLI权限的用户需执行以下两项操作:
1)启用Active Directory CLI功能。
2)在了解现有Active Directory域的情况下启用Active Directory CLI身份验证功能(默认情况下禁用)。
思科已确认此漏洞不会影响Cisco ISE版本2.2、2.2.1、2.3和2.4,因为这些版本中没有CLI Active Directory功能。
解决方案
Cisco ISE版本3.0.0及更高版本已包含此漏洞的修复程序。
思科建议,Cisco ISE 3.0是仅授权许可的智能解决方案,需要与云进行通信。然而,在发布时,它不支持空白网络。建议有空白网络的客户等待即将发布的Cisco ISE版本2.6和2.7的补丁程序,该补丁将包含针对此漏洞的修复。
有关更多漏洞信息及升级,请访问官网:
[[[IMG_1]]]
[[[IMG_2]]]
[[[IMG_3]]]
