思科针对其部分高端软件系统发布了三份“关键”安全警告,其中两份针对其应用服务引擎(ASE)的实现,另一份针对NX-OS操作系统。
的大多数关于警告Cisco应用程序中心基础设施(ACI)多站点协调器(MSO)安装了ASE,这被评为一个更糟糕的情况,在通用漏洞评分系统(CVSS)上可能的10分之一。ACI多站点协调器允许客户跨基于Cisco应用程序策略基础架构控制器的结构控制应用程序访问策略。
根据该建议,安装在ASE上的Cisco ACI MSO API端点的漏洞可能会让未经身份验证的远程攻击者绕过受影响设备的身份验证。成功的攻击可以让攻击者接收到一个具有管理员级别特权的令牌,该令牌可用于对受影响的MSO和受管理的Cisco应用程序策略基础设施控制器(APIC)设备上的API进行身份验证。
思科表示,该漏洞是由于特定API端点上的令牌验证不当造成的,仅在部署在思科ASE上时才会影响思科ACI MSO运行3.0版本的软件。
的第二个关键的警告是关于ASE本身,思科说有多个弱点-在CVSS规模上的整体评分为9.8分10分,包括:
- 这个弱点会让攻击者有特权访问运行容器或调用主机级操作。该漏洞是由于对在数据网络中运行的服务的访问控制不足造成的。思科表示,攻击者可以通过向特定服务发送精心设计的TCP请求来利用这个漏洞。
- 允许未经身份验证的远程攻击者访问受影响设备上的特定API的漏洞。成功的攻击可以让攻击者了解设备特定的信息,在一个独立的卷中创建技术支持文件,并进行有限的配置更改。该漏洞是由于在数据网络中运行的API的访问控制不足造成的。攻击者可以通过向受影响的API发送精心制作的HTTP请求来利用这个漏洞。思科表示,成功的攻击可以让攻击者了解设备特定的信息,在一个独立的卷中创建技术支持文件,并进行有限的配置更改。
的最后关键的警告思科(Cisco) Nexus交换机的NS-OX操作系统。思科表示,在运行思科NX-OS的独立NX-OS模式下,思科Nexus 3000系列交换机和思科Nexus 9000系列交换机的内部文件管理服务的实现可能会让未经认证的远程攻击者创建、删除或覆盖任意文件根设备上的特权。
思科表示:“这个漏洞的存在是因为TCP端口9075被错误地配置为侦听和响应外部连接请求。”
“攻击者可以通过向TCP端口9075的本地接口上配置的IP地址发送精心制作的TCP数据包来利用这个漏洞。成功的攻击可以允许攻击者创建、删除或覆盖任意文件,包括与设备配置相关的敏感文件。”“例如,攻击者可以在设备管理员不知情的情况下添加用户帐户,”供应商说。
思科已经发布了免费软件更新,以解决关键漏洞,并建议客户离开在这里为更多的信息。
此外,围绕nsox和Nexus交换机也发布了一些不那么严肃的警告。他们包括一个该报告描述了思科NX-OS软件的NX-API特性中的一个漏洞,该漏洞可以让未经身份验证的远程攻击者对受影响的系统进行跨站请求伪造(CSRF)攻击。成功的攻击可以让攻击者使用受影响用户的特权级别执行任意操作。思科表示,攻击者可以查看和修改设备配置。
另一个警告描述了Cisco Nexus 9000系列fabric交换机在以应用为中心的基础设施(ACI)模式下建立的fabric基础设施VLAN连接中的一个漏洞,该漏洞可能允许未经身份验证的相邻攻击者绕过安全验证,将未经授权的服务器连接到基础设施VLAN。思科表示,通过连接到基础设施VLAN,攻击者可以进行未经授权的连接到思科APIC服务或加入其他主机端点。
思科说,它已经发布了免费软件更新来解决这些问题。