思科已经发布了三份针对其高端软件系统的安全警告,其中两份针对其应用服务引擎(ASE)的实施,另一份针对NX-OS操作系统。
的大多数关于警告来自Cisco应用中心的基础架构(ACI)多站点Orchestrator(MSO)安装了ASE,其被评为较差的案例方案,在常见的漏洞评分系统(CVSS)上可能的10个可能10。ACI多站点Orchestrator允许客户控制思科应用程序策略基础设施控制器的应用程序访问策略。
根据该报告,安装在ASE上的Cisco ACI MSO的API端点存在漏洞,可能会让未经身份验证的远程攻击者绕过受影响设备上的身份验证。一个成功的攻击可能会让攻击者收到一个具有管理员级特权的令牌,可以用来对受影响的MSO和受管理的Cisco Application Policy Infrastructure Controller (APIC)设备上的API进行身份验证。
思科表示,该漏洞是由于特定API端点上不正确的令牌验证导致的,仅当部署在Cisco ASE上时,才会影响运行3.0版本软件的Cisco ACI MSO。
的第二个关键的警告是关于ASE本身,思科说有多个弱点-总评分9.8分10分在CVSS量表,包括:
- 这是一个弱点,它会让攻击者拥有运行容器或调用主机级操作的特权访问权。该漏洞是由于对数据网络中运行的服务的访问控制不足造成的。Cisco表示,攻击者可以通过向特定服务发送精心设计的TCP请求来利用这个漏洞。
- 允许未经身份验证的远程攻击者访问受影响设备上的特定API的漏洞。一个成功的攻击可以让攻击者了解特定于设备的信息,在一个隔离的卷中创建技术支持文件,并进行有限的配置更改。该漏洞是由于对数据网络中运行的API的访问控制不足造成的。攻击者可以通过向受影响的API发送精心设计的HTTP请求来利用这个漏洞。思科表示,一个成功的攻击可以让攻击者了解特定设备的信息,在一个隔离的卷中创建技术支持文件,并进行有限的配置更改。
的最后关键的警告该系统采用的是思科Nexus交换机的NS-OX操作系统。思科表示,在运行思科NX-OS的独立NX-OS模式下,思科Nexus 3000系列交换机和思科Nexus 9000系列交换机的内部文件管理服务的实施可能会让未经身份验证的远程攻击者创建、删除或覆盖任意文件根设备上的特权。
思科表示:“此漏洞的存在是因为TCP端口9075被错误地配置为侦听和响应外部连接请求。”
“攻击者可以通过向TCP端口9075上的本地接口发送构造的TCP数据包来利用此漏洞。成功的漏洞允许允许攻击者创建,删除或覆盖任意文件,包括敏感文件与设备配置相关,“思科陈述了。“例如,攻击者可以在没有设备管理员了解的情况下添加用户帐户,”供应商说明。
思科已经发布了解决关键漏洞的免费软件更新,并建议客户离开在这里为更多的信息。
NS-OX和Nexus Switch Portfolio还有许多其他不太严重的建议。它们包括在内一个描述了Cisco NX-OS Software的NX-API特性中的一个漏洞,该漏洞可以让未经认证的远程攻击者对受影响的系统进行跨站点请求伪造(CSRF)攻击。一个成功的攻击可以让攻击者使用受影响用户的特权级别执行任意操作。思科表示,攻击者可以查看并修改设备配置。
另一个警告描述了在应用中心基础架构(ACI)模式下的Cisco Nexus 9000系列结构开关的易受培训性的Cisco Nexus 9000系列结构开关可以允许未经身份验证的相邻攻击者绕过安全验证,并将未经授权的服务器连接到基础架构VLAN。通过连接到基础架构VLAN,攻击者可以对思科APIC服务进行未经授权的连接或加入其他主机端点,思科说明。
思科表示,它已经发布了免费软件更新来解决这些问题。