思科警告客户,一个存在十年之久的 ASA 漏洞 CVE-2014-2120 正在被恶意利用。

思科警告说,已有十年历史的ASA漏洞CVE-2014-2120正在被野外攻击利用,并敦促客户查看更新的公告。

该漏洞存在于思科自适应安全设备(ASA)软件的 WebVPN 登录页面中,未经身份验证的远程攻击者可以利用该漏洞对思科 ASA 上 WebVPN 的用户进行跨站脚本 (XSS) 攻击。

“思科自适应安全设备(ASA)软件的WebVPN登录页面存在一个漏洞,未经身份验证的远程攻击者可利用该漏洞对思科ASA上的WebVPN用户进行跨站脚本(XSS)攻击。该漏洞是由于参数的输入验证不充分造成的。攻击者可以通过说服用户访问恶意链接来利用这个漏洞。”

这家网络巨头于 2024 年 3 月 18 日首次发布该公告,但在 2024 年 11 月,思科 PSIRT 检测到针对该漏洞的新的利用尝试。

“2024年11月,思科产品安全事故响应小组(PSIRT)意识到在野外有更多利用该漏洞的企图。”该公告继续说道。“思科继续强烈建议客户升级到固定的软件版本,以修复这一漏洞。”

11 月,美国 CISA 将 CVE-2014-2120 漏洞添加到其已知漏洞(KEV)目录中。

文章原文链接:https://www.anquanke.com/post/id/302417