HackerNews 编译，转载请注明出处： 思科近日发布安全公告，警告其身份服务引擎（ISE）及被动身份连接器（ISE-PIC）存在两个未认证的远程代码执行（RCE）漏洞（编号CVE-2025-20281与CVE-2025-20282），均被评定为最高危级（CVSS评分：10.0）。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本，而CVE-2025-20282仅影响3.4版本。 漏洞原理与影响 CVE-2025-20281：特定API对用户输入验证不足，未认证攻击者可构造恶意API请求，以root权限执行任意操作系统命令。 CVE-2025-20282：内部API文件校验机制缺陷，攻击者可向特权目录上传任意文件并以root权限执行。 思科ISE作为企业级网络访问控制与策略执行平台，广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管，无需用户交互或认证凭证。目前尚无活跃攻击迹象，但强烈建议优先修复。 修复方案 升级至3.3 Patch 6（补丁号：ise-apply-CSCwo99449_3.3.0.430_patch4）或更高版本 升级至3.4 Patch 2（补丁号：ise-apply-CSCwo99449_3.4.0.608_patch1）或更高版本 注：无临时缓解措施，必须安装安全更新。 关联漏洞 同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷，攻击者可利用合法凭证修改系统配置或重启设备。修复方案： 3.4版本需升级至Patch 2 3.3版本需升级至Patch 5 3.2版本预计2025年11月通过Patch 8修复 注：3.1及更早版本已停止支持，需迁移至新版本。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： SANS 技术研究所的互联网风暴中心（Internet Storm Center）近期观察到针对两个思科（Cisco）智能许可工具（Smart Licensing Utility）漏洞的利用尝试，这两个漏洞已于半年前修复。 2024 年 9 月初，思科披露其智能许可工具存在两个关键漏洞（CVE-2024-20439 和 CVE-2024-20440），并发布了相关补丁。这两个漏洞可能允许未经身份验证的远程攻击者收集敏感信息或管理受影响系统上的相关服务。 CVE-2024-20439：这是一个静态凭证漏洞，攻击者可以通过一个硬编码的密码访问该软件。 CVE-2024-20440：该漏洞与一个记录过多信息的日志文件有关，攻击者在利用第一个漏洞后可以访问该日志文件。 SANS 的研究员 Johannes Ullrich 报告称，观察到攻击者尝试使用默认凭据访问思科智能许可工具实例。攻击者的目标尚不明确，但 Ullrich 指出，同一威胁行为者似乎也在尝试入侵其他类型的系统，包括一些暴露在互联网上的物联网设备。 目前，尚无公开报告表明这两个思科漏洞在野外被利用的情况。思科的安全公告显示，这两个漏洞是内部发现的，截至本文撰写时，尚未提及野外利用情况。 消息来源：SecurityWeek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科公司表示，最近在Kraken勒索软件团伙的泄露网站上发布的文件，涉及的数据来源于三年前的网络攻击。 这些数据，包含一份似乎从思科系统中被窃取的凭证列表，近日出现在Kraken勒索软件团伙的新数据泄露网站上。 思科发言人回应SecurityWeek的询问时表示：“思科已知有关安全事件的报告。报告中提到的事件发生在2022年5月，且我们当时已完全解决了该事件。” 他还表示：“根据我们的调查，事件并未对客户造成任何影响。” 思科曾在2022年8月详细说明了这一网络攻击事件。当时，一个名为Yanluowang的勒索软件团伙将思科列为其泄露网站的受害者，声称窃取了数GB的信息。 该事件被归咎于俄罗斯关联的威胁行为者UNC2447，该团伙以使用FiveHands和HelloKitty勒索软件而闻名。事件还与臭名昭著的Lapsus$黑客团伙有关，该团伙在2022年底解散，原因是两名英国成员被逮捕并定罪，此外，还与Yanluowang团伙有关。 2022年9月，攻击者公开了从思科窃取的文件，思科确认这些数据确实来源于其网络。 就在上周末，其中一部分数据——包括用户名、标识符和密码哈希值——出现在Kraken的泄露网站上，目前该网站总共有六篇相关帖子。 Kraken似乎是HelloKitty勒索软件团伙的重新品牌化，正如泄露网站所提到的，这也解释了为何他们会拥有这些思科的数据。 该团伙多次更换名字，可能是为了通过重提旧有攻击来吸引对新品牌的关注。 消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名黑客从思科开发中心（DevHub）窃取数据并对外泄露，思科已确认这些数据属实，并指出它们源自近期披露的一起安全事件。 这名自称为IntelBroker的黑客于10月14日宣布，他与他人侵入了思科系统，获取了源代码、证书、凭证、机密文件、加密密钥等多种信息。 思科调查后发现，其系统并未被侵入，这些数据实际上是从一个面向公众的DevHub环境中获取的，该环境作为资源中心，为客户提供源代码、脚本等内容。 尽管DevHub中的大部分数据已公开，但思科承认，黑客获取的部分文件本不应公开。 随后，IntelBroker确认数据来自DevHub，并开始泄露文件。他最初声称获取了800GB的文件，但随后又称从DevHub环境中获取了4.5TB的数据。12月中旬，他公布了约3GB的数据，并在圣诞节当天又泄露了一批文件，总量超过4GB。 泄露的数据包括与思科产品相关的源代码、脚本、数字证书和配置文件。 思科在第二次数据泄露后表示，已对数据进行了分析，发现它们“与2024年10月14日已知的数据集一致”。 思科解释道：“如之前更新所述，我们确信系统没有受到攻击，并且在泄露的内容中任何可能被攻击者用来访问我们的生产或企业环境的信息。” 思科最初表示，没有证据表明敏感个人信息或财务数据遭到破坏，但已从事件报告中删除了这一声明。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据Hackread研究团队发现，名为IntelBroker的黑客声称已从网络巨头思科窃取了数据，并关联到一些知名公司的源代码，包括微软、亚马逊、AT&T等，相关数据已在黑客论坛Breach Forums 上出售。 据黑客称，数据泄露发生在 2024 年 10 月 10 日，并于10月14日在Breach Forums上发布。据 Hackread研究团队所见，Intel Broker 列出了据称在泄露中被盗的大量数据类型，包括： 源代码：来自 GitHub、GitLab 和 SonarQube 的项目，对 Cisco 的开发工作至关重要。 硬编码凭证：源代码中嵌入的敏感信息，如登录详细信息。 证书和密钥：SSL 证书以及对安全通信至关重要的公钥和私钥。 机密文档：分类为“Cisco 机密”的内部文档和信息。 API 令牌和存储桶：可用于访问关键系统的 AWS 私有存储桶、Azure 存储桶和 API 令牌。 其他敏感信息：包括Jira 票证、Docker 版本和 Cisco 高级产品信息。 图片来源：FreeBuf IntelBroker 还分享了一份据称在泄露期间窃取的生产源代码公司名单。该名单包括几家备受瞩目的公司，尤其是在电信和金融领域，例如：Verizon、AT&T、T-Mobile、美国银行、沃达丰，以及科技巨头微软等。 IntelBroker 将以门罗币（XMR）的形式出售这些被盗数据。门罗币是一种以其隐私功能而闻名的加密货币。黑客表示，他们愿意使用中间人来促进交易，确保买卖双方的匿名性。这种方法是网络犯罪分子的常见做法，以避免被当局检测和跟踪。 在截至Hackread发稿时，思科尚未对此事给出回应，如果此次泄露事件得到确认，可能会对 Cisco 和受影响的公司产生重大后果。 据悉，这是思科时隔两年后再遭遇数据泄露。2022年8月，黑客声称窃取到2.75GB数据，约3100个文件，其中不少文件为保密协议、数据转储和工程图纸。 近来，IntelBroker 以备受瞩目的数据泄露攻击而闻名。今年6月，黑客声称入侵了苹果公司，窃取了内部工具的源代码，同月还声称入侵了AMD，窃取了员工和产品信息。 而在更早前的5月，IntelBroker入侵了欧洲刑警组织并得到了对方证实。 尽管对该黑客的来源和附属组织尚不清楚，但据美国政府称，IntelBroker 被指控是其中一起 T-Mobile 数据泄露事件的幕后肇事者，这起发生在2022年11月的攻击事件导致3700万名用户数据被泄露。 参考来源：T-Mobile Hacked Again: 37 Million Accounts Compromised     转自FreeBuf，原文链接：https://www.freebuf.com/news/412837.html 封面来源于网络，如有侵权请联系删除

思科修补了 4 月份曝出的 NX-OS 零日漏洞，威胁攻击者可以利用该漏洞在受影响的交换机上以 root 身份，安装未知恶意软件。 网络安全公司 Sygnia 发现并向思科方面报告了安全漏洞事件，威胁攻击者利用安全漏洞进入受害者内部系统后，收集了大量的管理员级的凭据，一边可以随时访问思科 Nexus 交换机，部署了一个此前未出现过的定制化恶意软件。 此后，威胁攻击者利用这一”渠道“，便可以轻松的远程连接到受害者的设备，上传额外文件并执行恶意代码。 接到漏洞通知后，思科方面立刻做出回应，指出具有管理员权限的本地威胁攻击者可以利用安全漏洞（跟踪为 CVE-2024-20399），在易受攻击设备的底层操作系统上以 root 权限执行任意命令。 此外，思科相关负责人还指出，CVE-2024-20399 安全漏洞是对传递给特定配置 CLI 命令的参数验证不足造成的，使威胁攻击者能够通过将精心制作的输入作为受影响的配置 CLI 命令的参数，从而利用这一安全漏洞。 一旦威胁攻击者成功利用该安全漏洞后，就可以以 root 权限在底层操作系统上执行任意命令。 受影响设备的列表包括多个运行易受攻击的 NX-OS 软件的交换机： MDS 9000 系列多层交换机； Nexus 3000 系列交换机； Nexus 5500 平台交换机； Nexus 5600 平台交换机； Nexus 6000 系列交换机； Nexus 7000 系列交换机； 独立 NX-OS 模式下的 Nexus 9000 系列交换机。 威胁攻击者还可以利用 CVE-2024-20399 安全漏洞，在不触发系统 syslog 消息的情况下执行命令，从而使其能够在被攻击的 NX-OS 设备上隐藏入侵迹象。 因此，思科方面强烈建议客户应当定期监控和更改 network-admin 和 vdc-admin 管理用户的凭证。 今年 4 月，思科曾警告称，自 2023 年 11 月以来，一个由国家支持的黑客组织（被追踪为 UAT4356 和 STORM-1849）一直在利用 Adaptive Security Appliance (ASA) 和 Firepower Threat Defense (FTD) 防火墙中的多个零日漏洞（CVE-2024-20353 和 CVE-2024-20359），针对全球政府网络开展名为 ArcaneDoor 的活动。 当时，斯克公司多次强调，安全研究人员还发现有证据表明，威胁攻击者至少从 2023 年 7 月起就针对这些零日安全漏洞测试和开发了漏洞利用程序。之后，威胁攻击者利用这些安全漏洞安装了未知的恶意软件，使其能够在被入侵的 ASA 和 FTD 设备上留下“后门”。 值得一提的是，思科指出尚未确定威胁攻击者用来入侵受害者网络的初始攻击载体。 上个月，Sygnia 称 Velvet Ant 在一次网络间谍活动中利用定制恶意软件攻击了 F5 BIG-IP 设备，在这次攻击活动中，威胁攻击者利用对受害者网络的持续访问，在长达三年的时间里“偷偷”窃取了大量的敏感客户和财务信息。   转自Freebuf，原文链接：https://www.freebuf.com/news/404980.html 封面来源于网络，如有侵权请联系删除

近期，思科公司表示，全球仅有 3% 的组织达到抵御网络安全风险所需的 “成熟 “准备水平。值得一提的是，这一比例与一年前相比大幅下降，当时有 15% 的公司被评为 “成熟”。 组织网络安全风险准备水平较低 如今，从网络钓鱼、勒索软件到供应链攻击和社交工程攻击，各种威胁技术持续将全球组织作为攻击目标。虽然一些组织正在针对这些攻击建立起了防御措施，但由于自身的安全态势过于复杂，且以多点解决方案为主，因此在防御攻击方面仍然举步维艰。 虽然 80% 的组织对其现有基础设施抵御网络攻击的能力非常乐观，但信心与准备程度之间有着很明显的差距。从现有状况来看，组织不仅对其”驾驭“安全威胁的能力存在认知不足，也可能没有正确评估所面临挑战的真正规模。 思科执行副总裁兼安全与协作部总经理 Jeetu Patel 指出，组织不能低估自身面对的安全威胁，需要持续优先投资于集成防御平台，并且不断智能化运营倾斜，以便最终实现自动化防御，使”天平“始终向有利于防御者的方向倾斜。 值得一提的是，73% 的受访组织表示，其预计在未来 12 到 24 个月内，网络安全事件将扰乱业务经营。如果组织内部毫无准备，可能要付出很大的代价。此外，54% 的受访者表示，在过去 12 个月中经历过网络安全事件，52% 的受访者表示至少损失了 30 万美元。 人才短缺影响组织构建安全防御机制 80% 的受访者承认，组织采用多点解决方案会降低其团队检测、响应和从网络安全事件中恢复的能力，没有带来显著的结果 。（67% 的组织表示，内部安全团队在安全堆栈中部署了10个或更多的点解决方案，25% 的企业表示部署了30个或更多的点解决方案。） 85% 的组织表示，内部员工通过非托管设备访问公司各个网络平台，其中 43% 的员工花费 20% 的时间通过非托管设备登录公司网络系统。此外，29% 的公司表示，其员工一周内至少在六个网络之间”跳来跳去“。 87% 的受访者指出，关键网络安全人才的短缺进一步阻碍了网络安全防御工作的开展。事实上，46% 的组织表示，他们的组织中有超过 10 个与网络安全相关的职位空缺。值得注意的是，52% 的组织计划在未来 12-24 个月内大幅升级其 IT 基础设施，这一数字比去年计划升级的 33% 有了明显增加。 最突出的是，企业计划升级现有解决方案（66%）、部署新解决方案（57%）和投资人工智能驱动技术（55%）。此外，97% 的公司计划在未来 12 个月内增加网络安全预算，86% 的受访者表示他们的预算将增加 10% 或更多。 最后，安全研究人员强调，组织必须加快在安全方面的资源投入，包括但不限于采用创新的安全措施和安全平台方法，加强网络弹性，更多的使用生成式人工智能产品，并加大安全人才招聘力度，从而构建起组织的网络安全防御体系。   转自Freebuf，原文链接：https://www.freebuf.com/news/396871.html 封面来源于网络，如有侵权请联系删除

思科发布了针对IOS RX软件中多个漏洞的补丁，其中包括三个高严重性缺陷，导致拒绝服务（DoS）和特权提升。 最严重的高严重性错误是CVE-2024-20320，这是IOS RX的SSH功能中的问题，攻击者可以通过向CLI发送精心设计的SSH命令来将权限提升到root。 该安全漏洞影响了8000系列路由器以及网络融合系统（NCS）540系列和5700系列路由器。通过IOS RX版本7.10.2的发布，该安全漏洞已得到修补。运行旧版本操作系统的设备应升级到已修补的版本。 第二个高严重性缺陷（CVE-2024-20318）影响启用了第2层服务功能的线卡。攻击者可以通过向易受攻击的设备发送特定的以太网帧，导致线卡网络处理器重置，并且可以重复该过程来重置线卡，从而导致拒绝服务（DoS）情况。 该漏洞已在IOS RX软件版本7.9.2和7.10.1中得到解决。 思科还发布了软件维护升级（SMU）来解决该错误。另外，思科还修补了CVE-2024-20327，这是一个影响ASR 9000系列路由器的以太网PPP（PPPoE）终止功能的高严重性DoS错误。对格式错误的PPPoE数据包处理不当会导致攻击者导致ppp_ma进程崩溃，从而导致PPPoE流量出现DoS状况。 思科表示，该问题影响路由器“在基于 Lightspeed 或 Lightspeed-Plus 的线卡上运行带有 PPPoE 终端的宽带网络网关 (BNG) 功能”。IOS RX 软件版本 7.9.21、7.10.1 和 7.11.1 包含针对此缺陷的补丁。 思科还宣布修复了 IOS XR 软件中的几个中等严重程度的漏洞，这些漏洞可能允许攻击者绕过保护、导致 DoS 情况或安装未经验证的软件映像。 这些缺陷已作为思科 2024 年 3 月半年度 IOS RX安全建议包的一部分得到解决，其中包括八项建议。   转自安全客，原文链接：https://www.anquanke.com/post/id/293995 封面来源于网络，如有侵权请联系删除

思科发布了更新，以解决其安全客户端软件中的一个严重漏洞，该漏洞允许攻击者连接到目标用户的VPN会话。 该漏洞编号为 CVE-2024-20337 ， CVSS严重等级为 8.2 ，允许未经身份验证的远程攻击者进行CRLF 注入攻击，从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。 攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息，包括有效的SAML令牌，这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。 该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，公司已在最新的软件版本中修复，可以在此页面上找到安全版本表 。 此外，思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3)，该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞已在5.1.2.42版本中修复。 思科敦促用户立即更新他们的系统，以保护免受可能的攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293734 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，思科近期发布了一个新安全补丁，解决了影响统一通信和联络中心解决方案产品的关键安全漏洞，该漏洞可能允许未经认证的远程威胁攻击者在受影响的设备上执行任意代码。 安全漏洞被跟踪为 CVE-2024-20253（CVSS 得分：9.9），Synacktiv 安全研究员 Julien Egloff 发现并报告这一问题。据悉，漏洞主要源于对用户提供的数据不当处理，威胁攻击者能够滥用这些数据向受影响设备的监听端口发送特制信息。 思科在一份公告中表示，一旦威胁攻击者成功利用 CVE-2024-20253 安全漏洞，便可以使用网络服务用户的权限在底层操作系统上执行任意命令，通过访问底层操作系统，威胁攻击者还可以在受影响的设备上建立 root 访问权限。受该漏洞影响的产品包括： 统一通信管理器（版本 11.5、12.5(1) 和 14） 统一通信管理器即时消息和出席服务（版本 11.5(1)、12.5(1) 和 14） 统一通信管理器会话管理版（版本 11.5、12.5(1) 和 14） 统一联络中心快车（12.0 及更早版本和 12.5(1) 版本） 统一连接（版本 11.5(1)、12.5(1) 和 14），以及 虚拟语音浏览器（12.0 及更早版本、12.5(1) 和 12.5(2) 版） 值得一提的是，目前尚没有解决 CVE-2024-20253 安全漏洞的具体方法，但网络设备制造商思科方面敦促用户尽快设置访问控制列表，以最大程度上限制无法立即应用安全更新的访问。 此外，思科方面还表示，用户也可以在思科统一通信或思科联络中心解决方案集群与用户和网络其他部分隔离开的中间设备上建立访问控制列表（ACL），只允许访问已部署服务的端口。 思科近期屡屡曝出安全漏洞问题，几周前，思科才发布了针对影响 Unity Connection 的重大安全漏洞（CVE-2024-20272，CVSS 得分：7.3）的安全更新修复程序。   转自Freebuf，原文链接：https://www.freebuf.com/news/390855.html 封面来源于网络，如有侵权请联系删除