思科更新十年漏洞警告

关键要点

• 思科于12月2日更新了关于其Adaptive Security Appliance（ASA）软件的漏洞警告，该漏洞存在于WebVPN登录页面，允许未经身份验证的远程攻击者进行跨站脚本(XSS)攻击。
• 该漏洞评级为6.1，被认为是中等严重性， attackers可以通过引导用户访问恶意链接进行利用。
• 该漏洞的存在突显了遗留漏洞在网络安全中长期未得到解决的问题。
• 安全团队必须优先解决关键漏洞，并及时识别和处理这些问题。

思科在12月2日更新了其3月18日发布的关于10年前存在的漏洞警告。该漏洞位于思科的自适应安全设备（）软件的WebVPN登录页面，可能允许未经身份验证的远程攻击者执行。

在其，思科产品安全事件响应团队（PSIRT）表示，上个月它注意到了关于该漏洞的额外利用尝试。

该中等严重性漏洞——被NIST评为6.1，主要由于某参数的输入验证不充分，导致攻击者可能通过诱使用户访问恶意链接来利用该漏洞。

利用十年前的漏洞，如ASA WebVPN漏洞，凸显了网络安全中的持续挑战。Opus Security的首席执行官MenyHar解释道，遗留漏洞往往因组织面临的安全问题量庞大而未得到解决。

Har表示，缺乏有效的优先级排序可能导致关键漏洞被忽略。安全团队必须回答如下问题：该漏洞是否可被外部访问？是否影响核心业务功能？是否持续被威胁行为者利用？然而，在没有适当流程的情况下，这些问题常常得不到解答，使得确定哪些问题需要立即处理变得困难。

“这种复杂性是许多遗留漏洞未得到解决的重要原因，”Har说道。“当面对数百万个问题时，确定优先级变得艰巨。此外，对于无法替换或修补的关键或遗留设备，识别出重要的漏洞以及可以有效检测和防止利用的缓解控制措施（如安全传感器）往往十分具有挑战性。”

IONIX的现场首席技术官BillyHoffman补充说，大多数组织几乎难以跟上新的关键或高严重性问题，而是将注意力放在每年涌现出的成千上万的中等严重性CVE上。Hoffman表示，再加上IT在对核心业务系统（如VPN）进行更改时的保守态度，因此有些公司仍在运行存在十年漏洞的VPN端点也就不足为奇了。

“这个教训是，如果你是高级威胁行为者的目标，你需要关注中等严重性的问题，尤其是在关键基础设施中。”Hoffman说道。“大多数人可能会说‘中等XSS没什么大不了’，但这实际上是一种Web
VPN中的XSS，意味着坏演员可以劫持用户会话，并冒充用户在组织内部使用他们的权限。这个问题，再结合针对某个有提升权限用户的电子邮件攻击，足以使这个中等严重性的XSS成为有力的连锁攻击。”

Bugcrowd的创始人和顾问CaseyEllis表示，这些攻击强调了攻击面管理的重要性。他指出，具有可利用漏洞的这种过时设备往往被遗忘，迷失在漫长的并购过程中，或在IT维护或硬件更新列表之外被遗漏。

“攻击者意识到了这一现象及其为他们提供的大量机会目标。”Ellis说道。“尽管十年前的漏洞听起来荒谬，但像思科ASA这样的防火墙和路由基础设施常常是‘可见的却不被听见’，这使得它更容易被忽视、遗忘或遗漏。对攻击者来说，找到足够多的具有相同可利用漏洞的设备，以证明恶意活动是