思科在其應用程式中心基礎設施(ACI)多站點協調器(MSO)中解決了一個最嚴重的漏洞,該漏洞允許未經身份驗證的遠端攻擊者繞過易受攻擊裝置上的身份驗證。
駭客可利用漏洞進行 API 驗證在一份公開發布的報告中,該公司表示,攻擊者可以透過向受影響的 API 傳送請求來利用此漏洞。攻擊者可能借此獲得具有管理員級特權的令牌,這些令牌可用於對受影響的 MSO 和受管的 Cisco Application Policy Infrastructure Controller(APIC)裝置上的 API 進行身份驗證。
該漏洞被追蹤為 CVE-2021-1388,在 CVSS 漏洞評分系統中排名 10(滿分10分),其原因是 Cisco ACI MSO 安裝了 Application Services Engine 的 API 端點上的一個不正確的令牌驗證。它會影響執行 3.0 版本軟體的 ACI MSO 版本。
此外,該公司還修補了思科應用服務引擎(CVE-2021-1393和 CVE-2021-1396,CVSS score 9.8)中的多個漏洞,這些漏洞可能允許遠端攻擊者訪問特權服務或特定API,從而導致執行能力容器或呼叫主機級操作,並瞭解“特定於裝置的資訊,在隔離的卷中建立技術支援檔案,並進行有限的配置更改”。
思科指出,這兩個漏洞都是由於資料網路中執行的 API 訪問控制不足造成的。
漏洞未被惡意攻擊者利用網路專業人士說,上述三個漏洞是在內部安全測試中發現的,但他補充說,沒有發現惡意企圖利用這些漏洞。
最後,思科修復了一個漏洞(CVE-2021-1361,CVSS scores 9.8),該漏洞用於為思科 Nexus 3000 系列交換機和思科 Nexus 9000 系列交換機提供內部檔案管理服務。
思科表示,執行思科 NX-OS 軟體發行版 9.3(5)或9.3(6)的 Nexus 3000 和 Nexus 9000 交換機在預設情況下容易受到攻擊。
思科在概述中提到,“這個漏洞的存在是因為 TCP 埠 9075 被錯誤地配置為偵聽和響應外部連線請求。攻擊者可以透過將特製的 TCP 資料包傳送到 TCP 埠 9075 的本地介面上配置的 IP 地址來利用此漏洞。”
幾周前,思科對其小型企業路由器中的多達 44 個漏洞進行了修正,這些缺陷可能允許未經身份驗證的遠端攻擊者作為根使用者執行任意程式碼,甚至導致拒絕服務。