Cisco为网真、RoomOS和伞形VA发布安全补丁

网络设备制造商思科（Cisco）发布了安全更新，以解决其产品中的三个严重漏洞，这些漏洞可能被利用，造成拒绝服务（DoS）情况，并控制受影响的系统。

三个缺陷中的第一个，（CVSS得分：7.5），影响Cisco TelePresence Collaboration Endpoint（CE）软件和Cisco RoomOS软件，并源于缺乏正确的输入验证，允许未经验证的远程攻击者向设备发送精心编制的流量。

该公司在一份公告中指出：“成功利用此漏洞可使攻击者使受影响的设备正常重新启动或重新启动到维护模式，这可能导致设备出现DoS情况”。

美国国家安全局（NSA）发现并报告了该漏洞。该问题已在Cisco TelePresence CE软件版本9.15.10.8和10.11.2.2中解决。

CVE-2022-20773（CVSS得分：7.5）是要修补的第二个缺陷，涉及运行3.3.2之前软件版本的Cisco Umbrella Virtual Appliance（VA）中存在的静态SSH主机密钥，可能允许攻击者对SSH连接执行中间人（MitM）攻击并劫持管理员凭据。

第三个高严重性漏洞是Cisco Virtualized Infrastructure Manager中的权限提升案例(，CVSS得分：7.8），授予经过身份验证的本地攻击者升级设备权限。该问题已在软件版本4.2.2中解决。

该公司表示：“成功利用此漏洞可使攻击者获得内部数据库凭据，攻击者可使用此凭据查看和修改数据库的内容。攻击者可使用此数据库访问权限提升受影响设备的权限”。

Cisco还解决了其产品组合中的10个中等严重错误，包括Webex Meeting、统一通信产品、Umbrella Secure Web Gateway和IOS XR软件。