思科BroadWorks平台现“满分级”漏洞
2023-9-8 11:13:12 Author: www.freebuf.com(查看原文) 阅读量:19 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据BleepingComputer消息,思科 BroadWorks 应用交付平台和思科 BroadWorks Xtended 服务平台出现了严重漏洞,可能允许远程攻击者伪造凭证并绕过身份验证。

思科 BroadWorks 是面向企业和消费者的云通信服务平台,漏洞由思科安全工程师内部发现,编号为 CVE-2023-20238,CVSS 评分达到了最高级别的10分。

通过利用该漏洞,攻击者可以自由执行命令、访问机密数据、更改用户设置以及进行电话欺诈。受影响的思科应用交付平台和 BroadWorks Xtended 服务平台功能包括认证服务、BW呼叫中心、自定义媒体文件检索、版主客户端应用程序等。

除上述提到的两个组件之外,CVE-2023-20238 不会影响任何其他 BroadWorks 组件,因此其他产品的用户无需采取任何操作。

思科称,攻击者利用该漏洞后所获得的能力取决于伪造帐户的权限级别,“管理员”级别将是最糟糕的情况。然而,利用该缺陷的先决条件之一是拥有与目标 Cisco BroadWorks 系统关联的有效用户 ID。这种情况可能会减少利用 CVE-2023-20238 的攻击者数量,但这并不能缓解问题,因此风险仍然很严重。

思科没有针对此缺陷提供任何解决方法,因此建议的解决方案是针对 23.0 分支版本的用户更新到 AP.platform.23.0.1075.ap385341,针对独立版本的用户更新到版本 2023.06_1.333 或 2023.07_1.332 (RI)版。

CVE-2023-20238 也会影响 22.0 分支的用户,但思科不会发布该版本的安全更新,因此建议旧版本用户的响应是迁移到固定版本。

目前,还没有关于 CVE-2023-20238 被主动利用的报告,但系统管理员应 尽快应用可用的更新。

参考来源:Cisco BroadWorks impacted by critical authentication bypass flaw


文章来源: https://www.freebuf.com/articles/377490.html
如有侵权请联系:admin#unsafe.sh