Cisco Secure Workload平台存在最高级别严重漏洞

Cisco Secure Workload本地部署版本被发现存在一个严重漏洞，该漏洞可能允许威胁行为者获取站点管理员权限，进而入侵终端设备并读取或篡改配置数据。

"首席安全官们需要立即放下手头的一切，马上打补丁，"Enderle Group负责人、顾问Robert Enderle警告称，"Cisco Secure Workload负责管理零信任架构、微分段以及全企业网络可见性。一旦攻击者控制了制定安全策略的平台，他们实际上就掌握了整个网络王国的地图和钥匙。"

"这是绝对最坏的情况，"他补充道，"由于该平台对大型企业至关重要，威胁行为者将积极扫描未修补的API端点加以利用。"

Info-Tech Research Group首席研究总监Fred Chagnon也强调了立即处理这一问题的紧迫性。他指出，攻击者可以修改或拆除企业的安全策略，实际上打开了那些被刻意关闭的环境通道。

"由于这种访问权限在站点管理员级别运作，并可跨越租户边界，"他补充道，"在多租户部署环境中，攻击波及范围可能相当显著，有可能暴露或破坏属于多个业务单元或客户的工作负载和数据。"

Cisco将该漏洞（CVE-2026-20223）的CVSS评分定为满分10.0，原因是它允许未经身份验证的远程攻击者完全绕过身份验证。攻击者只需向内部REST API端点发送一个精心构造的HTTP请求，即可立即获得站点管理员权限。

在其安全公告中，Cisco表示该漏洞的根源在于访问REST API端点时验证和身份验证不足。

目前没有可用的临时缓解措施，唯一的解决方案是安装软件更新，Cisco对此"强烈建议"。运行4.0版本的系统应升级至4.0.3.17；运行3.10版本的系统应升级至3.10.8.3；仍在使用3.9及更早版本的用户则应迁移至更新的修复版本。

该漏洞影响SaaS和本地部署两种模式下的Secure Workload集群软件，与设备配置无关，但仅影响内部REST API，不影响基于Web的管理界面。不过，只有使用本地部署版本的用户需要采取行动，Cisco已对SaaS产品完成了修补。

截至本文发稿时（周三），Cisco尚未发现该漏洞被恶意利用的情况。

好消息是，Chagnon表示，该漏洞由Cisco自身的安全团队发现并披露，补丁与安全公告同步发布。他还补充称，目前没有已知的野外利用迹象，且在Cisco发布公告之前也没有任何公开披露。

虽然SaaS版本已由Cisco完成修补，但他表示，运行Cisco Secure Workload本地部署版本的管理员不应将此视为例行补丁周期中的普通修复任务。"鉴于该漏洞的性质——CVSS满分、无需身份验证、且没有可用的临时缓解方案——各组织应将其视同活跃威胁来处理，"他说。

这并非Cisco管理员近期面临的唯一严重漏洞，但却是严重性评级最高的一个。今年4月，管理员不得不在Webex Control Hub中更换身份提供商证书，以修复一个严重性评分为9.8的漏洞。今年1月，Cisco发布补丁，修复了Unified Communications Manager、Unity Connection和Webex Calling Dedicated Instance中存在的严重远程代码执行漏洞。而去年12月，Cisco曾警告称，一个与中国有关联的黑客组织正在积极利用其安全电子邮件设备中的零日漏洞。

Q&A

Q1：CVE-2026-20223漏洞为什么被评为最高严重级别？

A：该漏洞CVSS评分为满分10.0，原因是它允许未经身份验证的远程攻击者完全绕过身份验证，仅需向内部REST API端点发送一个精心构造的HTTP请求，即可立即获得站点管理员权限，进而入侵终端、读取或篡改配置数据，且目前没有任何临时缓解措施可用。

Q2：Cisco Secure Workload漏洞是否已有补丁，如何修复？

A：Cisco已发布软件更新修复该漏洞，并强烈建议用户尽快升级。SaaS版本已由Cisco自动完成修补，本地部署用户需手动操作：4.0版本升级至4.0.3.17，3.10版本升级至3.10.8.3，3.9及更早版本则需迁移至更新的修复版本。目前没有其他临时缓解方案。

Q3：Cisco Secure Workload漏洞在多租户环境中有多危险？

A：在多租户部署环境中，该漏洞的威胁尤为严重。由于攻击者获得的访问权限在站点管理员级别运作，且可跨越租户边界，一旦被利用，可能波及多个业务单元或客户的工作负载和数据，攻击者甚至可以修改或拆除整个企业的安全策略，打开被刻意关闭的安全通道。