近日，思科发布软件更新，解决影响会议管理的关键安全漏洞。该漏洞可能使经过身份验证的远程攻击者在易受攻击的实例上获取管理员权限。漏洞编号为CVE - 2025 - 20156，CVSS评分为9.9（满分10.0），是思科会议管理REST API中的权限提升漏洞。

思科周三在公告中称：“此漏洞存在的原因是REST API用户未强制执行恰当的授权。攻击者可通过向特定端点发送API请求来利用该漏洞。成功利用此漏洞可能让攻击者获得对思科会议管理所管理的边缘节点的管理员级别控制权。”

思科将这一安全问题的发现归功于Modux的Ben Leonard - Lagarde。受影响的产品版本如下（无论设备配置如何）：

• - 思科会议管理发布版本3.9（已在3.9.1中修复）；
  - 思科会议管理发布版本3.8及更早版本（需迁移到修复版本）；
  - 思科会议管理发布版本3.10（不受影响）。

思科还发布了补丁，修复影响BroadWorks的拒绝服务（DoS）漏洞。该漏洞源于对某些会话启动协议（SIP）请求的内存处理不当（CVE - 2025 - 20165，CVSS评分：7.5），已在版本RI.2024.11中修复。

思科表示：“攻击者可通过向受影响系统发送大量SIP请求来利用此漏洞。成功利用可能使攻击者耗尽分配给处理SIP流量的思科BroadWorks网络服务器的内存。若无可用内存，网络服务器将无法再处理传入请求，从而导致需要手动干预才能恢复的DoS状况。”

思科修复的第三个漏洞是CVE - 2025 - 20128（CVSS评分：5.3），这是影响ClamAV的对象链接和嵌入2（OLE2）解密例程的整数下溢错误，也可能引发DoS情况。思科承认该漏洞由Google OSS - Fuzz报告，并且已知存在概念验证（PoC）利用代码，不过没有证据表明它已在野外被恶意利用。

CISA和FBI详述Ivanti的利用链

在思科漏洞消息传出之际，美国政府的网络安全和执法机构公布了2024年9月国家支持的黑客组织利用的两个侵入Ivanti云服务应用程序的利用链的技术细节。

相关漏洞如下：

• - CVE - 2024 - 8963（管理绕过漏洞）；
• - CVE - 2024 - 9379（SQL注入漏洞）；
• - CVE - 2024 - 8190和CVE - 2024 - 9380（两个远程代码执行漏洞）。

据网络安全和基础设施安全局（CISA）和联邦调查局（FBI）称，在一个案例中，攻击序列涉及滥用CVE - 2024 - 8963与CVE - 2024 - 8190和CVE - 2024 - 9380；在另一个案例中，涉及滥用CVE - 2024 - 8963和CVE - 2024 - 9379。

值得注意的是，第一个利用链由Fortinet FortiGuard Labs于2024年10月披露。至少在一个案例中，威胁行为者在获得初步立足点后进行了横向移动。

第二个利用链被发现利用CVE - 2024 - 8963与CVE - 2024 - 9379结合以获取对目标网络的访问权限，随后试图植入Web shell以保持持久性，但未成功。

这些机构表示：“威胁行为者链接了上述漏洞以获取初始访问权限、执行远程代码执行（RCE）、获取凭据并在受害者网络上植入Web shell。应认为受影响Ivanti设备中存储的凭据和敏感数据已泄露。”

参考来源：https://thehackernews.com/2025/01/cisco-fixes-critical-privilege.html