云安全日报201123：思科身份服务引擎发现特权升

Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款基于身份的环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco ISE能够洞察网络受到的一切攻击，并可以减轻复杂访问管理的压力。

11月22日,思科公司发布了安全更新，修复了Cisco ISE特权升级等重要漏洞。以下是漏洞详情

漏洞详情

来源

https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-priv-esc-fNZX8hHj

CVE-2020-27122  CVSS评分 4.4 中

Cisco Identity Services Engine（ISE）的Microsoft Active Directory集成中的漏洞可能允许经过身份验证的本地攻击者提升受影响设备上的特权。要利用此漏洞，攻击者需要在受影响的设备上拥有有效的管理员帐户。

该漏洞是由于错误的权限分配引起的。攻击者可以通过使用特制的Active Directory帐户登录系统来利用此漏洞。成功利用此漏洞可能使攻击者在受影响的设备上获得root用户特权。

注意仅具有配置为支持Active Directory身份验证的CLI的设备受此漏洞影响。默认情况下，禁用了对Active Directory身份验证的CLI支持。ISE中对Active Directory域服务或Active Directory证书服务的所有其他使用均不受影响。

受影响产品

此漏洞影响了思科ISE版本2.6和2.7。

为了进行利用，具有管理员访问CLI权限的用户必须执行以下两项操作

1）启用Active Directory CLI功能。

2）在了解现有Active Directory域的情况下启用Active Directory CLI身份验证功能（默认情况下禁用）。

思科已确认此漏洞不会影响Cisco ISE版本2.2、2.2.1、2.3和2.4，因为这些版本中不存在CLI Active Directory功能。

解决方案

Cisco ISE版本3.0.0及更高版本包含此漏洞的修复程序。

思科给出的重要建议 Cisco ISE 3.0是仅授权许可的智能解决方案，需要与云进行通信。在发布时，它不支持空白网络。建议具有空隙网络的客户等待即将发布的Cisco ISE版本2.6和2.7补丁程序，其中包括针对此漏洞的修复程序。

查看更多漏洞信息 以及升级请访问官网

https://tools.cisco./security/center/publicationListing.x