思科修复了最高危的MSO身份验证绕过漏洞

思科已解决了在应用程序服务引擎上安装的Cisco ACI Multi-Site Orchestrator（MSO）的API端点中发现的最大严重性身份验证绕过漏洞。

思科ACI MSO是一种站点间网络和策略编排解决方案，可帮助管理员跨多个数据中心监视其组织互连站点的运行状况。

仅影响MSO 3.0版本

思科解释说： “安装在应用程序服务引擎上的Cisco ACI Multi-Site Orchestrator（MSO）的API端点中的漏洞可能允许未经身份验证的远程攻击者绕过受影响设备上的身份验证。”

未经身份验证的攻击者可以通过发送精心设计的请求来利用影响CISCO ACI MSO API端点的不正确的令牌验证错误来绕过受影响设备的身份验证。

成功的攻击使攻击者可以获得具有管理员级别特权的身份验证令牌，以对受影响的MSO和受管的Cisco应用程序策略基础结构控制器（APIC）设备上的API进行身份验证。

该漏洞（跟踪为CVE-2021-1388，基得分为10/10，CVSS）仅影响Cisco ACI MSO 3.0版本，并且仅在部署于Cisco Application Services Engine统一应用托管平台上时才受影响。

即使您不能立即修补易受攻击的路由器，思科产品安全事件响应团队（PSIRT）仍表示它不了解公共公告或对CVE-2021-1388错误的恶意使用。

建议所有客户立即将其安装升级到Cisco ACI MSO 3.0（3m）版本，以解决严重的安全漏洞并防止尝试。

1. 3.0（1i）版不容易受到攻击。所有其他3.0版本在第一个固定版本之前都容易受到攻击。

更关键和更高严重性的补丁

今天，思科还解决了思科应用服务引擎中的一个严重性严重的未经授权的访问漏洞（CVE-2021-1393）。

成功利用后，他们可以“允许未经身份验证的远程攻击者访问受影响设备[..]上的特权服务，以运行容器或调用主机级操作。”

该公司还修补了五个影响Cisco FXOS软件，Cisco NX-OS软件和Cisco UCS软件的安全漏洞，严重等级从高严重等级（8.1 / 10 CVSS基本评分）到严重等级（9.8 / 10）不等。

思科今天解决的所有安全漏洞的完整列表可以在该公司的“安全顾问”页面上找到。

2月初，Cisco解决了多个预认证远程代码执行（RCE）漏洞，这些漏洞影响小型企业VPN路由器，并允许攻击者以root用户身份执行任意代码。

原文来自: FreeBuf