在线发布PoC漏洞后，Cisco ASA漏洞受到主动攻击

思科自适应安全设备（ASA）中的一个安全漏洞在概念验证（PoC）漏洞攻击代码发布后受到了积极的攻击，该漏洞已于去年10月和今年4月初被该公司解决

网络安全公司Positive Technologies的研究人员于6月24日发布了PoC，随后有报道称，攻击者正在追查该漏洞的漏洞

“Tenable还收到一份报告，称攻击者正在野外利用CVE-2020-3580，”这家网络曝光公司说

追踪为CVE-2020-3580（CVSS分数：6.1），该问题涉及Cisco ASA软件和Cisco Firepower Threat Defense（FTD）软件的web服务接口中的多个漏洞，这些漏洞可能允许未经验证的远程攻击者对受影响的设备进行跨站点脚本（XSS）攻击

根据网络安全公司Rapid7的数据，截至2020年7月，ASA/FTD设备略多于85000台，其中398台分布在《财富》500强中17%的公司

成功利用此漏洞，例如确信界面用户点击巧尽心思构建的链接，可能会允许对手在界面上下文中执行任意JavaScript代码，或访问敏感的、基于浏览器的信息

尽管思科在2020年10月弥补了这一缺陷，但网络设备公司随后确定修复是“不完整的”，因此需要在2021年4月28日发布的第二轮补丁。

鉴于公共PoC的可用性，建议各组织优先修补CVE-2020-3580，以降低与该漏洞相关的风险。