思科为高端软件系统ACI、应用服务引擎和NX-OS操作系统发布补丁。
Cisco已经发布了三份针对某些高端软件系统的“关键”安全建议,其中两份针对其应用服务引擎(ASE)实现,另一份针对NX-OS操作系统。
最令人担忧的警告出现在安装ASE的Cisco Application Centric Infrastructure(ACI)多站点Orchestrator(MSO)上,ASE被评为最糟糕的情况,在公共漏洞评分系统(CVSS)上可能为10个,其中10个。ACI多站点Orchestrator允许客户控制Cisco上的应用程序访问策略基于应用程序策略基础结构控制器的结构。
根据公告,ASE上安装的Cisco ACI MSO的API端点中存在漏洞,未经验证的远程攻击者可以绕过受影响设备上的身份验证。成功利用此漏洞可使攻击者收到具有管理员级权限的令牌,该令牌可用于对受影响的MSO和受管理的Cisco Application Policy Infrastructure Controller(APIC)设备上的API进行身份验证
Cisco称,该漏洞是由于在特定API端点上进行不正确的令牌验证造成的,仅当部署在Cisco ASE上时,才会影响运行3.0版本软件的Cisco ACI MSO。
第二个关键警告是关于ASE本身,思科表示,ASE存在多个弱点,在CVSS量表中,总体得分为9.8分,其中包括:
- 使攻击者具有运行容器或调用主机级操作的特权的弱点。该漏洞是由于对数据网络中运行的服务的访问控制不足造成的。Cisco称,攻击者可以通过向特定服务发送精心编制的TCP请求来攻击此漏洞。
- 允许未经验证的远程攻击者访问受影响设备上特定API的漏洞。成功利用此漏洞可使攻击者了解特定于设备的信息,在隔离卷中创建技术支持文件,并进行有限的配置更改。该漏洞是由于对数据网络中运行的API的访问控制不足造成的。攻击者可以通过向受影响的API发送精心编制的HTTP请求来攻击此漏洞。Cisco称,成功利用此漏洞可使攻击者了解特定于设备的信息,在隔离卷中创建技术支持文件,并进行有限的配置更改。
最后一个严重警告是在思科Nexus交换机的NS-OX操作系统中,评分为9.8分(满分10分)。Cisco表示,在独立NX-OS模式下运行Cisco NX-OS的Cisco Nexus 3000系列交换机和Cisco Nexus 9000系列交换机的内部文件管理服务的实施过程中出现的漏洞可能会让未经验证的远程攻击者在设备上创建、删除或覆盖具有根权限的任意文件
Cisco称:“之所以存在此漏洞,是因为TCP端口9075配置不正确,无法侦听和响应外部连接请求。”
推荐白皮书
- 弗雷斯特波™ 端点检测与响应,2020年第1季度报告
弗雷斯特波™ 端点检测与响应,2020年第1季度报告
- Sunburst按需攻击仿真
Sunburst按需攻击仿真
- 勒索软件解码
勒索软件解码
“攻击者可以通过向TCP端口9075的本地接口上配置的IP地址发送精心编制的TCP数据包来攻击此漏洞。成功利用此漏洞可使攻击者创建、删除或覆盖任意文件,包括与设备配置相关的敏感文件。“例如,攻击者可以在设备管理员不知情的情况下添加用户帐户,”该供应商说。
思科发布了免费软件更新,解决了关键的漏洞,并建议客户到这里来获取更多信息。
围绕NS-OX和Nexus switch产品组合还发布了其他一些不太严重的警告,其中一个警告描述了Cisco NX-OS软件NX-API功能中的漏洞,该漏洞可让未经验证的远程攻击者对受影响的系统进行跨站点请求伪造(CSRF)攻击。成功利用此漏洞可使攻击者使用受影响用户的权限级别执行任意操作。思科称,攻击者可以查看和修改设备配置。
另一个警告描述了Cisco Nexus 9000系列结构交换机在以应用程序为中心的基础结构(ACI)模式下的结构基础结构VLAN连接建立中的漏洞,该漏洞允许未经验证的相邻攻击者绕过安全验证,将未经授权的服务器连接到基础结构VLAN。Cisco称,通过连接到基础设施VLAN,攻击者可以未经授权连接到Cisco APIC服务或加入其他主机端点。
思科表示,它已经发布了免费软件更新,以解决这些问题。