CVE-2026-20223 (CVSS 10): 思科安全未认证API访问

执行摘要

思科披露了思科安全工作负载中的一个严重漏洞 —— 跟踪编号为 CVE-2026-20223，CVSS 严重程度评分为 10.0 —— 该漏洞允许未经身份验证的远程攻击者访问内部REST API端点，并假定站点管理员角色的权限。该缺陷源于对REST API请求的验证和身份验证检查不足，实际上无需任何凭证即可授予对受影响设备的完整管理控制权。

对于防御者来说，这意味着具有对易受攻击的思科安全工作负载节点网络访问权限的攻击者可以读取敏感遥测数据，修改工作负载安全策略，部署恶意配置，或破坏整个数据中心或云环境中的监控。思科在2026年5月20日确认了该咨询，并发布了修补版本（3.8.1.1）。没有可用的变通方法 —— 运行任何先前版本的组织应将此视为紧急升级。

技术分析

根据思科的安全咨询（cisco-sa-csw-pnbsa-g8WEnuy），漏洞存在于思科安全工作负载内部REST API的访问验证逻辑中。该产品 —— 以前称为Tetration —— 提供跨混合云环境的工作负载保护、微分段和合规性监控。内部REST API旨在被平台自己的组件使用，但咨询指出这些端点上的身份验证和授权检查是“不足的”。

能够向受影响的API端点发送精心设计的HTTP请求的攻击者 —— 无需事先身份验证 —— 可以触发该缺陷。成功利用授予攻击者与站点管理员角色相同的权限，包括对所有工作负载安全策略的完整读写访问权限，推送新代理配置的能力，以及对工作负载和网络流量的敏感元数据的访问权限。

CVSS 10.0评分反映了基于网络的攻击向量、低攻击复杂性、无需特权、无需用户交互以及允许攻击者影响最初易受攻击组件之外的资源的范围变化的组合。咨询没有具体说明漏洞是否可跨网络边界利用（即，仅通过管理界面或通过所有网络接口），但思科安全工作负载的默认部署模型将管理API放置在单独的网络段上。组织应假设攻击面包括任何网络路径到设备的REST API端口。

截至咨询发布日期，思科的产品安全事件响应团队（PSIRT）尚未报告CVE-2026-20223在野外的任何积极利用。没有公开发布概念验证代码，但咨询中的技术细节足以使熟练的攻击者重现问题。

缓解措施与建议

唯一的补救措施是升级到思科安全工作负载版本 3.8.1.1 或更高版本。思科已确认，没有任何变通方法或配置更改可以在不应用补丁的情况下缓解漏洞。无法立即升级的组织应考虑以下补偿控制措施：

• 仅允许受信任的管理IP范围访问思科安全工作负载管理界面，使用防火墙规则或网络访问控制列表。
• 监控REST API访问日志中的异常请求 —— 特别是返回管理响应或触发配置更改的未经身份验证的请求。
• 将安全工作负载设备隔离在专用的管理VLAN上，并进行严格的出口过滤。

鉴于CVSS 10.0的严重性和缺乏变通方法，应将此补丁优先考虑与任何面向互联网的关键漏洞。思科安全工作负载通常部署在受监管的行业 —— 金融服务、医疗保健和政府 —— 其中工作负载安全策略的泄露可能会对合规性和运营完整性产生连锁反应。