Cisco為交換機、防火墻解開26個安全補丁

admin

思科正在修補Nexus3000、3500、7000、9000交換機和FirePower4100系列下一代防火墻和FirePower9300安全設備的軟件漏洞。

Cisco已經捆綁了25個安全建議，描述了Cisco NX-OS交換機和FirePower FXOS防火墻軟件中的26個漏洞。
盡管26個警報描述了安全影響評級為“高”的漏洞，但大多數（23個）都會影響Cisco NX-OS軟件，其余三個都涉及這兩個軟件包。
Cisco說，這些漏洞跨越了許多問題，這些問題會讓攻擊者獲得未經授權的訪問、獲得提升的權限、執行任意命令、逃離受限制的外殼、繞過系統映像驗證檢查或導致拒絕服務（DoS）情況。
該公司表示，該公司已經發布了針對所有漏洞的軟件修復程序，并且沒有任何問題影響到Cisco iOS軟件或Cisco iOS XE軟件。
有關哪些Cisco FXOS軟件和Cisco NX-OS軟件版本易受攻擊以及如何處理的信息，請參閱咨詢的“固定軟件”部分。
LDAP實現漏洞
在Cisco FXOS和Cisco NX-OS軟件中，輕量級目錄訪問協議（LDAP）功能的實現中發現了最嚴重的漏洞（常見的漏洞評分系統評級為8.6/10）。Cisco表示，該問題可能會讓未經身份驗證的遠程攻擊者導致受影響的設備重新加載，從而導致拒絕服務（DoS）情況。
“這些漏洞是由于受影響的設備對LDAP數據包的分析不當造成的。攻擊者可以通過向受影響的設備發送使用基本編碼規則（BER）編寫的LDAP包來利用這些漏洞，”Cisco寫道。“LDAP數據包必須具有在目標設備上配置的LDAP服務器的源IP地址。”
從FirePower 4100系列下一代防火墻和FirePower 9300安全設備到MDS 9000系列多層交換機、Nexus 3000、3500、7000、9000系列交換機和UCS 6200、6300系列結構互連，該漏洞會影響許多產品。
四分法分析漏洞
另一個排名很高的漏洞是，在獨立NX-OS模式下，用于Nexus 9000系列交換機的Cisco Tetration Analytics代理中，該代理允許經過身份驗證的本地攻擊者執行任意根代碼。攻擊者可以通過用惡意代碼替換有效的代理文件來利用此漏洞。思科在公告中說，成功的攻擊可能導致攻擊者提供的代碼被執行。該漏洞是由于錯誤的權限設置造成的。
Cisco Tetration分析系統從硬件和軟件傳感器收集信息，并使用大數據分析和機器學習分析信息，為IT經理提供對其數據中心資源的更深入了解。Tetration背后的理念包括顯著改進企業安全監控、簡化操作可靠性的能力。
Nexus軟件中的幾個漏洞可能會讓攻擊者在交換機上獲得提升的權限并執行惡意命令。
思科寫道，第一個弱點是用戶帳戶及其相關組ID的授權檢查不正確。“攻擊者可以利用邏輯錯誤來利用此漏洞，該邏輯錯誤允許使用比必要分配的權限更高的命令。成功利用此漏洞，攻擊者可以在受影響設備的基礎Linux shell上以提升的權限執行命令。”
該問題影響到Nexus 3000、3500、7000、7700、9000和系列交換機以及Nexus 9500 R系列線路卡和結構模塊。
第二次曝光是由于授權執行不充分。攻擊者可以通過對目標設備進行身份驗證并執行可能導致特權提升的命令來利用此漏洞。成功利用此漏洞可能允許攻擊者以管理員身份對系統進行配置更改。
該問題影響Nexus 3000、3500、3600、9000和Nexus 9500 R系列線卡和結構。
保護POAP設置工具的警告
思科還發布了一個信息咨詢思科Nexus交換機使用自動供應或零觸摸部署功能稱為Poweron自動供應（POAP）。
思科表示，該功能有助于實現Nexus交換機的初始部署和配置的自動化，而POAP功能在應用配置后會自行禁用。但思科表示，正確保護使用POAP的網絡至關重要。
Cisco表示：“一些客戶可能希望禁用POAP功能，并使用其他方法來配置開箱即用的Nexus設備。”
為此，Cisco寫道，它添加了多個新命令來禁用POAP，這些命令將在重置為出廠默認值和刪除配置過程中持續存在。有關保護POAP環境的指南以及有關禁用該功能的信息，請參閱詳細信息和建議部分。