多个思科产品中的多个未经身份验证的远程代码控制和执行漏洞

admin 2021年3月2日11:19:02评论118 views字数 1839阅读6分7秒阅读模式

021年2月24日,思科发布了针对多种产品的许多补丁,如果其中三个正在运行受影响的系统和操作系统/软件配置,则组织需要立即予以关注。它们在下面进行了详细说明:


Cisco ACI多站点协调程序应用服务引擎部署身份验证绕过漏洞(CVSSv3 Base 10; CVE-2021-1388)


Cisco Multi-Site Orchestrator(MSO)是负责在所有组织的所有Cisco ACI站点中部署,配置,运行状况监视和管理Cisco Application Centric Infrastructure(ACI)网络策略和租户策略的整个生命周期的产品。它实质上具有对网络和网络安全性各个方面的完全控制。此外,Cisco ACI可以与VMware vCenter Server,Microsoft System Center VMM [SCVMM]和OpenStack控制器虚拟化平台管理器集成在一起,并进行管理控制。


安装在应用程序服务引擎上的Cisco ACI MSO的API端点中的弱点可能允许未经身份验证的远程攻击者绕过受影响设备上的身份验证。一个或多个API端点未正确验证API令牌,并且成功利用漏洞使未经身份验证的远程攻击者可以完全控制此强大的端点。


仅当部署在Cisco Application Services Engine上时,此漏洞才会影响运行3.0版本软件的Cisco ACI Multi-Site Orchestrator(MSO)。仅版本3.0(3m)容易受到攻击。


值得庆幸的是,此漏洞是在内部发现的,从而降低了立即使用概念验证漏洞的可能性。


鼓励组织将API访问限制到受信任的分段网络,并确保在重要的补丁程序更改窗口中应用此补丁程序。


思科应用服务引擎未经授权的访问漏洞(CVSSv3 Base 9.8; CVE-2021-1393,CVE-2021-1396)


CVE-2021-1393允许未经身份验证的远程攻击者访问受影响设备上的特权服务。运行在ASE数据网络上的一项服务没有足够的访问控制,攻击者可以通过特制的TCP请求来利用这些访问控制。成功的利用会导致特权设备访问,从而能够运行容器和执行任何主机级命令。


CVE-2021-1396允许未经身份验证的远程攻击者访问受影响设备上的特权服务。这也将影响数据网络上具有松散访问控制的服务API。成功的利用会导致大量的信息泄露,在孤立的卷上创建支持级别的工件以及操纵未记录的配置设置子集的能力。

ASE数据网络提供以下服务:

  • 思科应用服务引擎集群

  • 应用到应用的交流

  • 访问Cisco ACI交换矩阵的管理网络

  • 所有从应用程序到ACI的结构通信

  • 数据网络与管理网络不同,因此分段不是临时缓解的选择。


这些漏洞影响1.1(3d)和更早版本的Cisco ASE软件。


再次,值得庆幸的是,此漏洞是在内部发现的,从而减少了可立即使用概念验证漏洞的可能性。


鼓励组织确保在重要的补丁程序更改窗口中应用此补丁程序。


Cisco NX-OS软件未经身份验证的任意文件操作漏洞(CVSSv3 Base 9.8; CVE-2021-1361)


CVE-2021-1361使远程未经身份验证的攻击者可以root在独立NX-OS模式下使用Cisco Nexus 3000和9000系列交换机上的用户权限来创建,修改或删除任意文件。


与前两个漏洞相比,思科提供了有关此严重漏洞的更多技术信息,从而表明在TCP端口9075上运行的服务无法正确侦听和响应外部通信请求。特制的TCP请求可以产生足够的权限来执行一系列操作,包括在管理员(或日志收集器)不知情的情况下创建本地用户帐户。


组织可以在独立的NX-OS Nexus 3000/9000上使用以下命令行来确定此服务是否在外部侦听:

nexus# show sockets connection | include 9075tcp LISTEN 0 32 * : 9075

仅在独立NX-OS模式下的Nexus 3000/9000系列交换机会受到影响。


鼓励组织将Cisco管理和控制平面访问限制在受信任的分段网络中,并使用设备上的访问控制列表(ACL)阻止对TCP端口9075的外部请求。一旦执行了缓解措施,组织应确保在关键范围内应用此补丁程序。修补程序更改窗口。但是,请注意,此漏洞是由外部匿名记者发现的,这很可能意味着Cisco之外至少有一个个人/组知道如何利用此漏洞。在某些组织中,此类信息可能会影响补丁优先级决策。

多个思科产品中的多个未经身份验证的远程代码控制和执行漏洞

本文始发于微信公众号(Ots安全):多个思科产品中的多个未经身份验证的远程代码控制和执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月2日11:19:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   多个思科产品中的多个未经身份验证的远程代码控制和执行漏洞https://cn-sec.com/archives/278449.html

发表评论

匿名网友 填写信息