思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞

近日，思科发布了 22 条安全公告，其中包括两条重要的修复方案：修复一个硬编码密码漏洞（ CVE-2018-0141）和一个 Java 反序列化漏洞（CVE-2018-0147）。

硬编码密码漏洞

硬编码密码漏洞影响思科的 Prime Collaboration Provisioning（PCP）产品，该产品的主要作用是让管理员远程安装并维护思科内部部署的通信设备（集成 IP 电话、视频、语音邮件）及其订阅用户的相关服务。思科 PCP 通常安装在 Linux 服务器上。未认证的本地攻击者可以利用这个漏洞，感染位于同一网络中的其他设备，将其作为 SSH 连接到受影响的系统，把权限提升到 root 级别，进而接管整个系统（PCP 的 Linux 操作系统）。

按照 CVSS 漏洞评分（满分 10 分），硬编码密码漏洞只有 5.9，属于中危级别。思科在内部安全测试过程中发现了这漏洞，由于可能存在未被重视的不安全环境，可能导致攻击者获取 root 权限，因此将其评委“严重高危”。思科表示，该漏洞目前只影响 2016 年发布的 PCP 11.6 版本，建议用户尽快升级到打过补丁的 PCP 12.1 版本，避免安全问题。

Java 反序列化漏洞

另一个比较受重视的漏洞是 Java 反序列化漏洞，影响思科的安全访问控制系统（ACS）。由于受影响的软件试图反序列化用户提供的内容时，远程攻击者可以利用这个漏洞，无需提供正确凭证就能发送精心设计的序列化 Java 对象，获取 root 权限并执行任意命令。

按照 CVSS 漏洞评分（满分 10 分），这个漏洞得分为 9.8 分，属于严重漏洞，影响 5.8 patch 9 版本之前所有版本的思科安全 ACS 系统。不过，运行 5.8 patch 7 版本和 5.8 patch 8 版本的系统需要提供凭证才能利用，因此 CVSS 漏洞评分为 8.8。思恩客建议用户尽快将系统升级到最新版本，并参考安全公告进行安全更新。