思科发布了针对ASA和火力软件的高严重性漏洞的补丁

思科系统公司(Cisco Systems Inc.)已经发布了30多个安全补丁，其中12个针对此前未披露的严重漏洞。

严重的漏洞被发现在思科的自适应安全设备和100系列防火墙应用以及思科火力威胁防御软件用于保护公司网络和数据中心。

思科表示，它不知道有任何漏洞正在被利用，但它正积极鼓励客户尽快应用补丁。

在这些漏洞中，有两个是由积极的技术安全研究员Mikhail Klyuchnikov和Nikita Abramo发现的。第一个漏洞被称为CVE-2000-3187，得分为9.1分，属于关键漏洞。WebVPN中发现的这个漏洞，如果被利用，即使是一个低技能的黑客也可以通过从系统中删除文件，对Cisco ASA设备进行拒绝服务攻击。

第二个漏洞是CVE-2020-3259，得分为7.5分。它允许攻击者读取Cisco ASA设备动态内存的部分，以获得连接到Cisco VPN的用户的会话标识。利用这些数据，攻击者可以渗透到公司的内部网络。

这家安全公司在一份声明中说:“积极技术专家指出，为了消除这个漏洞，用户必须更新思科ASA到最新版本。”“为了抵御潜在的攻击，公司也应该使用web应用程序防火墙。”

在思科的相关新闻中，变态安全公司的研究人员发现了一种新的网络钓鱼攻击，这种攻击模仿思科Webex的通知，以窃取员工的证书。

钓鱼活动背后的人发送电子邮件到目标模仿来自思科Webex的自动电子邮件，包括格式和图形使用的真实电子邮件来自该公司。电子邮件声称用户不能使用该服务，用户帐户目前已被锁定;要解锁他们的帐户，用户必须用提供的链接登录。该链接指向一个Webex钓鱼凭证页面，黑客可以在这个页面窃取登录凭证。

使用紧急请求”团伙捕食他们的受害者和恐惧让用户点击一个链接,吸引他们在一个假网站上登录,自始至终,偷他们的凭证,“詹姆斯•McQuiggan安全意识倡导安全意识培训公司KnowBe4 Inc .)告诉SiliconANGLE。“这种策略是成功的，因为目标可能不知道钓鱼链接的性质，并检查发件人的电子邮件地址。”

他补充说，一个常见的经验法则是，如果一封电子邮件要求用户登录并纠正一个问题，启动网站，使用保存的书签链接或快速搜索产品谷歌。“登录并验证信息是否准确，”他建议道。“大多数时候，这不是，而且只是攻击者获取受害者凭证的一种方式。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！