思科发布了一条重要安全公告,警告在其安全防火墙管理中心(FMC)软件中存在命令注入漏洞。该漏洞被跟踪为 CVE-2024-20424,CVSS 得分为 9.9,可允许经过验证的远程攻击者以根权限在底层操作系统上执行任意命令。该漏洞源于 Cisco FMC 基于 Web 的管理界面中某些 HTTP 请求的输入验证不足。如果被成功利用,經認證的遠端攻擊者可在 Cisco FMC 裝置的底層作業系統或任何受管理的 Cisco Firepower Threat Defense (FTD) 裝置上,以根權限執行任意指令。正如思科在其安全公告中解释的那样,“攻击者可以通过验证受影响设备的基于网络的管理界面,然后向设备发送伪造的 HTTP 请求来利用这一漏洞”。这意味着,攻击者只要拥有安全分析师(只读)等低级用户账户的凭据,就可以升级访问权限,在系统上执行高权限命令,从而有可能完全控制设备。无论设备配置如何,该漏洞都会影响所有版本的思科 FMC 软件。这意味着依赖 Cisco FMC 进行防火墙管理的众多组织都可能面临风险。不幸的是,目前没有任何变通办法可以缓解这一漏洞。思科在其公告中明确指出,打补丁是完全防范这一漏洞的唯一方法。思科已迅速采取行动,发布了针对 CVE-2024-20424 的软件更新,并敦促用户立即应用这些更新。虽然思科产品安全事故响应小组(PSIRT)尚未报告任何已知的恶意利用,但该漏洞的严重性使其成为攻击者的高优先级目标。
