思科上周针对网络虚拟化设备一项可能允许攻击者接管设备的重大漏洞,发布更新软件,呼吁用户应尽快安装。
这项漏洞发生在Cisco Enterprise Network Function Virtualization Infrastructure Software(NFVIS)4.5.1版本中的TACACS AAA(authentication, authorization and accounting)功能中。NSVIS主要是利用虚拟化和抽象化底层硬件,以管理分支机构的路由器、防火墙、网络控制器等设备。
这项漏洞编号CVE-2021-34746,出于TACACS AAA功能对用户调用的验证不完善,攻击者可在调用中注入参数开采漏洞。成功开采可让远程攻击者绕过验证,以管理员身份登录问题设备,进而接管该设备,这意味着他可以借此执行任意指令,包括删改文件或执行恶意程序。
该漏洞风险值9.8,影响有启动外部验证的设备。思科已发布最新的NSVIS 4.6.1解决问题。
本漏洞最早由Orange Group的研究人员Cyrille Chatras发现并通报。思科产品安全事件回应小组虽然还未发现有使用这漏洞的恶意活动,但已得知网络上有针对这漏洞的概念验证(PoC)程序。
美国网络安全暨基础架构管理局(CISA)也发出安全公告,呼吁企业管理员采取行动。