思科修复 Nexus交换机中的20多个高危漏洞
编译:代码卫士团队
本周,思科修复了影响 Nexus 交换机的20多个严重漏洞,其中包括可被用于实施拒绝服务攻击、执行任意代码和权限提升攻击的漏洞。
思科分别为这些缺陷发布了安全通告,其中很多漏洞影响受NX-OS 软件驱动的 Nexus 交换机和其它一些思科设备。
这些安全漏洞属于“高危”级别,影响的组件包括 Tetration Analytics 代理、LDAP 功能、图像签名验证功能、用户账户管理界面、命令行接口 (CLI)、Bash shell 实现、FCoE NPV 协议实现、文件系统组件、网络栈、Fabric 服务组件、NX-API 功能以及 802.1X 实现。
其中很多缺陷允许本地的验证攻击者以 root 身份执行任意代码、安装恶意软件图像、提升权限、获取对重要配置文件的读写权限或者逃逸设备上的受限 shell。
这些漏洞可在无需验证的情况下遭远程利用,允许攻击者在受影响设备上触发 DoS 条件。其中一个缺陷可遭远程利用,通过将恶意 HTTP/HTTPS 数据包发送至受影响系统的管理接口以 root 权限执行任意命令,但攻击者需要进行验证。
多数漏洞是由思科公司发现的,该公司表示目前尚未发现遭恶意利用的证据。
思科还发布了一份信息通告,督促 nexus 设备所有人保护使用了 POAP (PowerOn Auto Provisioning) 功能的网络的安全或直接禁用该功能。
POAP 默认启用,旨在帮助组织机构自动化 Nexus 交换机的部署和配置。虽然最初的 POAP 实现并不包括禁用该功能的选项,但思科以增加多行 CLI 命令以禁用 POAP。
思科警告称,“POAP 从第一个 DHCP 服务器接受配置脚本作为响应,且不存在和 DHCP 服务器建立信任的机制。能够发送 DHCP 响应的攻击者能够向设备提供恶意配置,从而允许攻击者以管理员权限级别运行命令。”
去年,思科发布了关于 Smart Install Client 的类似警告,这个遗留的工具允许对新型思科交换机的无接触式安装。几天后,多份报告指出,该功能显然已遭利用。
本月初,思科还警告称,2月份在某些 RV 路由器中修复的远程命令执行漏洞已遭攻击。
推荐阅读
原文链接
https://www.securityweek.com/cisco-patches-two-dozen-serious-flaws-nexus-switches
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。