1. 程式人生 > >Cisco 修復雲服務平臺重大漏洞

Cisco 修復雲服務平臺重大漏洞

cisco 修復雲服務平臺重大漏洞

前言


近日,思科修復了雲服務產品線上包括雲服務平臺(CSP),可擴展 Firepower 操作系統(FXOS),NX-OS軟件以及一些小型企業 IP 電話上的高危漏洞。


此次修復最嚴重的漏洞是 CVE-2017-12251,攻擊者可不經過授權訪問雲平臺2100。有很多機構都使用該平臺搭建思科或第三方的虛擬服務。該漏洞存在於 Cisco 雲服務平臺(CSP)2100 的 Web console中,未授權的遠程攻擊者可以利用該漏洞與受影響 CSP 設備服務或虛擬機(VM)進行惡意交互。

security advisory 表示:

該漏洞利用了這一代 Web console 中 URL 的某些授權機制不完善。攻擊者可以通過瀏覽 Cisco CSP 中托管的虛擬機的一個 URL 來查看 Web 應用授權控制的特定模式。攻擊者可以利用該漏洞連接 CSP 上的 VM,這樣整個系統就失去機密性,完整性和可用性了。

該漏洞會影響雲服務平臺 2100 的 2.1.0, 2.1.1, 2.1.2, 2.2.0, 2.2.1 和 2.2.2版本,思科已經發布了新版本 2.2.3 來解決這個問題。

思科表示,在野暫時還沒有發現類似的攻擊。

security advisory 補充說道:

思科的安全事件響應小組(PSIRT)還沒有完全意識到此次事件中漏洞利用的詳細情況。

技術分享


此次思科還通報了 DoS 的高危漏洞——CVE-2017-3883,可以影響 FXOS 和 NX-OS 軟件的認證,授權,計費(AAA)過程。

攻擊者可以利用該漏洞對配有 AAA 安全服務的設備進行強行登錄攻擊。

遠程攻擊者可以利用可擴展 Firepower 操作系統(FXOS)和NX-OS系統軟件中的漏洞對受影響的設備重新加載。

該漏洞還會影響 Firepower ,Nexus,多層交換機和一些計算系統產品。

第一個 CVE-2017-12260 漏洞會影響思科 Small Business SPA50x, SPA51x 和 SPA52x 系列 IP 電話中的進程初始化協議(SIP),第二個漏洞 CVE-2017-12259只會影響 SPA51x 系列電話中的相關協議。

利用以上漏洞,未授權的攻擊者可以發送特殊的 SIP 請求到目標設備,從而發動 DoS 攻擊。

對於近期出現的KRACK vulnerability,很多思科產品也受到了影響,思科也已經發布了最新的安全更新,並著手調查這一事件。

*參考來源:securityaffairs ,FB小編 Liki 編譯,轉載請註明來自FreeBuf.COM


總結!開始走向漏洞之路......


本文出自 “李世龍” 博客,謝絕轉載!

Cisco 修復雲服務平臺重大漏洞