Cisco為交換機(jī)、防火墻解開(kāi)26個(gè)安全補(bǔ)丁

admin

思科正在修補(bǔ)Nexus3000、3500、7000、9000交換機(jī)和FirePower4100系列下一代防火墻和FirePower9300安全設(shè)備的軟件漏洞。

Cisco已經(jīng)捆綁了25個(gè)安全建議，描述了Cisco NX-OS交換機(jī)和FirePower FXOS防火墻軟件中的26個(gè)漏洞。
盡管26個(gè)警報(bào)描述了安全影響評(píng)級(jí)為“高”的漏洞，但大多數(shù)（23個(gè)）都會(huì)影響Cisco NX-OS軟件，其余三個(gè)都涉及這兩個(gè)軟件包。
Cisco說(shuō)，這些漏洞跨越了許多問(wèn)題，這些問(wèn)題會(huì)讓攻擊者獲得未經(jīng)授權(quán)的訪問(wèn)、獲得提升的權(quán)限、執(zhí)行任意命令、逃離受限制的外殼、繞過(guò)系統(tǒng)映像驗(yàn)證檢查或?qū)е戮芙^服務(wù)（DoS）情況。
該公司表示，該公司已經(jīng)發(fā)布了針對(duì)所有漏洞的軟件修復(fù)程序，并且沒(méi)有任何問(wèn)題影響到Cisco iOS軟件或Cisco iOS XE軟件。
有關(guān)哪些Cisco FXOS軟件和Cisco NX-OS軟件版本易受攻擊以及如何處理的信息，請(qǐng)參閱咨詢的“固定軟件”部分。
LDAP實(shí)現(xiàn)漏洞
在Cisco FXOS和Cisco NX-OS軟件中，輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）功能的實(shí)現(xiàn)中發(fā)現(xiàn)了最嚴(yán)重的漏洞（常見(jiàn)的漏洞評(píng)分系統(tǒng)評(píng)級(jí)為8.6/10）。Cisco表示，該問(wèn)題可能會(huì)讓未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者導(dǎo)致受影響的設(shè)備重新加載，從而導(dǎo)致拒絕服務(wù)（DoS）情況。
“這些漏洞是由于受影響的設(shè)備對(duì)LDAP數(shù)據(jù)包的分析不當(dāng)造成的。攻擊者可以通過(guò)向受影響的設(shè)備發(fā)送使用基本編碼規(guī)則（BER）編寫的LDAP包來(lái)利用這些漏洞，”Cisco寫道。“LDAP數(shù)據(jù)包必須具有在目標(biāo)設(shè)備上配置的LDAP服務(wù)器的源IP地址。”
從FirePower 4100系列下一代防火墻和FirePower 9300安全設(shè)備到MDS 9000系列多層交換機(jī)、Nexus 3000、3500、7000、9000系列交換機(jī)和UCS 6200、6300系列結(jié)構(gòu)互連，該漏洞會(huì)影響許多產(chǎn)品。
四分法分析漏洞
另一個(gè)排名很高的漏洞是，在獨(dú)立NX-OS模式下，用于Nexus 9000系列交換機(jī)的Cisco Tetration Analytics代理中，該代理允許經(jīng)過(guò)身份驗(yàn)證的本地攻擊者執(zhí)行任意根代碼。攻擊者可以通過(guò)用惡意代碼替換有效的代理文件來(lái)利用此漏洞。思科在公告中說(shuō)，成功的攻擊可能導(dǎo)致攻擊者提供的代碼被執(zhí)行。該漏洞是由于錯(cuò)誤的權(quán)限設(shè)置造成的。
Cisco Tetration分析系統(tǒng)從硬件和軟件傳感器收集信息，并使用大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)分析信息，為IT經(jīng)理提供對(duì)其數(shù)據(jù)中心資源的更深入了解。Tetration背后的理念包括顯著改進(jìn)企業(yè)安全監(jiān)控、簡(jiǎn)化操作可靠性的能力。
Nexus軟件中的幾個(gè)漏洞可能會(huì)讓攻擊者在交換機(jī)上獲得提升的權(quán)限并執(zhí)行惡意命令。
思科寫道，第一個(gè)弱點(diǎn)是用戶帳戶及其相關(guān)組ID的授權(quán)檢查不正確。“攻擊者可以利用邏輯錯(cuò)誤來(lái)利用此漏洞，該邏輯錯(cuò)誤允許使用比必要分配的權(quán)限更高的命令。成功利用此漏洞，攻擊者可以在受影響設(shè)備的基礎(chǔ)Linux shell上以提升的權(quán)限執(zhí)行命令。”
該問(wèn)題影響到Nexus 3000、3500、7000、7700、9000和系列交換機(jī)以及Nexus 9500 R系列線路卡和結(jié)構(gòu)模塊。
第二次曝光是由于授權(quán)執(zhí)行不充分。攻擊者可以通過(guò)對(duì)目標(biāo)設(shè)備進(jìn)行身份驗(yàn)證并執(zhí)行可能導(dǎo)致特權(quán)提升的命令來(lái)利用此漏洞。成功利用此漏洞可能允許攻擊者以管理員身份對(duì)系統(tǒng)進(jìn)行配置更改。
該問(wèn)題影響Nexus 3000、3500、3600、9000和Nexus 9500 R系列線卡和結(jié)構(gòu)。
保護(hù)POAP設(shè)置工具的警告
思科還發(fā)布了一個(gè)信息咨詢思科Nexus交換機(jī)使用自動(dòng)供應(yīng)或零觸摸部署功能稱為Poweron自動(dòng)供應(yīng)（POAP）。
思科表示，該功能有助于實(shí)現(xiàn)Nexus交換機(jī)的初始部署和配置的自動(dòng)化，而POAP功能在應(yīng)用配置后會(huì)自行禁用。但思科表示，正確保護(hù)使用POAP的網(wǎng)絡(luò)至關(guān)重要。
Cisco表示：“一些客戶可能希望禁用POAP功能，并使用其他方法來(lái)配置開(kāi)箱即用的Nexus設(shè)備。”
為此，Cisco寫道，它添加了多個(gè)新命令來(lái)禁用POAP，這些命令將在重置為出廠默認(rèn)值和刪除配置過(guò)程中持續(xù)存在。有關(guān)保護(hù)POAP環(huán)境的指南以及有關(guān)禁用該功能的信息，請(qǐng)參閱詳細(xì)信息和建議部分。