1、漏洞背景描述

近日，Cisco官方发布安全通告，修复其多个产品和组件中的安全漏洞。本次通告中共计3处严重漏洞，攻击者可利用这些漏洞获得任意文件、执行任意命令、控制相关设备行为。赛尔网络安全服务团队建议相关用户做好自查并尽快升级至最新版本，以降低安全风险。

2、漏洞概述

本次更新修复的安全漏洞一共19个，其中有3个漏洞评级为严重，3个漏洞评级为高危，13个漏洞评级为中危。3个严重漏洞描述如下：

（1）Cisco IMC远程代码执行漏洞（CVE-2020-3470）： 思科集成管理控制器（IMC）的API中存在远程代码执行漏洞,由于对用户输入内容d验证不足所导致；未经授权的攻击者可通过向受影响的系统发送特制的HTTP请求，成功利用此漏洞可使用管理员权限在系统上执行任意代码。

（2）Cisco IoT FND REST API验证绕过漏洞（CVE-2020-3531）：Cisco IoT Field Network Director（FND）的REST API中存在验证绕过漏洞。未经授权的攻击者通过获取跨站点请求伪造（CSRF）令牌并发送特制数据包，可访问受影响系统的后端数据接口，从而获取敏感数据及设备操作权限。

（3）Cisco DNA Spaces Connector命令注入漏洞（CVE-2020-3586）：思科DNA空间连接器的Web管理页面存在命令注入漏洞，由于系统对用户输入的验证不足所导致，未经授权的远程攻击者通过向受影响的服务器发送特制的HTTP请求，成功利用此漏洞能够在目标操作系统上执行任意命令。

3、漏洞风险

攻击者可利用这些漏洞获得任意文件、执行任意命令、控制相关设备行为。

4、漏洞影响

Cisco IMC远程代码执行漏洞（CVE-2020-3470）：

➢5000 Series Enterprise Network Compute System (ENCS)平台

➢Standalone mode下的UCS C-Series Rack Servers

➢UCS E-Series Servers

➢Standalone mode下的UCS S-Series Servers

Cisco IoT FND REST API验证绕过漏洞（CVE-2020-3531） ：

➢Cisco DNA Spaces Connector <= 2.2

Cisco DNA Spaces Connector命令注入漏洞（CVE-2020-3586） ：

➢Cisco IoT FND < 4.6.1

5、修复建议

目前，思科官方已针对此次通告的漏洞发布了修复版本，赛尔网络安全服务团队建议受影响的用户尽快升级版本进行防护。

官方链接：https://software.cisco.com/download/find