【漏洞预警】CVE-2021-1388:思科史上最严重漏洞之一

点击上方蓝字关注我们

概述

2021年02月24日，思科发布了多个漏洞的风险报告，其中最为严重的是安装在应用程序服务引擎上的Cisco ACI Multi-Site Orchestrator(MSO)的API端点中的身份验证绕过漏洞(CVE-2021-1388)，CVSS评分为10.0。

漏洞详情

CVE-2021-1388：身份验证绕过漏洞，CVSS：10.0

思科应用程序服务引擎上的Cisco ACI Multi-Site Orchestrator(MSO)的API端点中，存在身份验证绕过漏洞(CVE-2021-1388)，该漏洞可能允许未经身份验证的远程攻击者绕过身份验证，并在受影响设备上执行任意命令。

该漏洞仅影响Cisco ACI MSO 3.0版本，并且仅当其部署在思科应用服务引擎统一托管平台上时才会受影响。思科ACI MSO是一种站点间网络和策略协调解决方案，可帮助管理员监视组织跨多个数据中心的互连站点的运行状况。

受影响版本：Cisco ACI Multi-Site Orchestrator  3.0

CVE-2021-1393：未授权访问漏洞，CVSS：9.8

思科应用服务引擎中存在未授权访问漏洞，该漏洞可能允许未经身份验证的远程攻击者在受影响的设备上获得用户特权。该漏洞是由于对数据网络中运行服务的访问控制不足所导致的。攻击者可以通过将特制的TCP请求，发送到特定服务触发该漏洞。成功利用该漏洞，可能使攻击者拥有运行容器或调用主机级操作的权限。

受影响版本：Cisco Application Services Engine 1.1

CVE-2021-1396：未授权API访问漏洞，CVSS：6.5

思科应用服务引擎中存在未授权API访问漏洞，该漏洞可能允许未经身份验证的远程攻击者访问受影响设备上的特定API。

该漏洞是由于对数据网络中运行的API的访问控制不足所导致的。攻击者可以通过向受影响的API，发送特制的HTTP请求来利用该漏洞。成功利用该漏洞的攻击者，了解特定设备的信息，在独立的卷中创建技术支持文件，并进行有限的配置更改。

受影响版本：Cisco Application Services Engine 1.1

CVE-2021-1361：任意文件操作漏洞，CVSS：9.8

思科NX-OS软件中存在未经身份验证的任意文件操作漏洞，该漏洞允许未经身份验证的远程攻击者在受影响的设备上以root权限创建、删除或覆盖任意文件。

该漏洞是由于TCP错误地配置为侦听和响应外部连接请求所导致的。攻击者可以通过将将精心制作的TCP数据包，发送到TCP端口9075的本地接口上配置的IP地址来利用该漏洞。成功利用该漏洞的攻击者攻击者可以创建、删除或覆盖任意文件，包括包括与设备配置有关的敏感文件。例如，攻击者可能在设备管理员未知的情况下添加用户帐户。

受影响版本:

运行了Cisco NX-OS Software Release 9.3(5)/9.3(6)的Nexus 3000 Series Switches 和Nexus 9000 Series Switches(独立NX-OS模式下)。

除以上漏洞外，该公司还修复其它影响Cisco FXOS软件、Cisco NX-OS软件和Cisco UCS软件的安全漏洞，风险等级从高严重(CVSS 8.1)到关键(CVSS 9.8)不等。

缓解措施

建议广大用户进行资产自查，及时更新受影响的应用程序。

END

好文！必须在看

本文始发于微信公众号（SecTr安全团队）：【漏洞预警】CVE-2021-1388:思科史上最严重漏洞之一