思科在其应用程序核心基础设施 (ACI) 多站点协调器 (MSO) 中解决了一个最重大的破绽,该破绽容许未经身份验证的近程攻击者绕过易受攻击设施上的身份验证。
黑客可利用破绽进行 API 验证
在一份公开公布的报告中,该公司示意,攻击者能够通过向受影响的 API 发送申请来利用此破绽。攻击者可能借此取得具备管理员级特权的令牌,这些令牌可用于对受影响的 MSO 和受管的 Cisco Application Policy Infrastructure Controller(APIC)设施上的 API 进行身份验证。
该破绽被追踪为 CVE-2021-1388,在 CVSS 破绽评分零碎中排名 10(满分 10 分),其起因是 Cisco ACI MSO 装置了 Application Services Engine 的 API 端点上的一个不正确的令牌验证。它会影响运行 3.0 版本软件的 ACI MSO 版本。
此外,该公司还修补了思科应用服务引擎(CVE-2021-1393 和 CVE-2021-1396,CVSS score 9.8)中的多个破绽,这些破绽可能容许近程攻击者拜访特权服务或特定 API,从而导致运行能力容器或调用主机级操作,并理解“特定于设施的信息,在隔离的卷中创立技术支持文件,并进行无限的配置更改”。
思科指出,这两个破绽都是因为数据网络中运行的 API 访问控制有余造成的。
破绽未被歹意攻击者利用
网络专业人士说,上述三个破绽是在外部平安测试中发现的,但他补充说,没有发现歹意希图利用这些破绽。
最初,思科修复了一个破绽(CVE-2021-1361,CVSS scores 9.8),该破绽用于为思科 Nexus 3000 系列交换机和思科 Nexus 9000 系列交换机提供外部文件治理服务。
该公司正告说,这可能容许歹意攻击者参与者创立、删除或笼罩设施上具备根特权的任意文件,包含容许攻击者在设施管理员不知情的状况下增加用户帐户。
思科示意,运行思科 NX-OS 软件发行版 9.3(5)或 9.3(6)的 Nexus 3000 和 Nexus 9000 交换机在默认状况下容易受到攻打。
思科在概述中提到,“这个破绽的存在是因为 TCP 端口 9075 被谬误地配置为侦听和响应内部连贯申请。攻击者能够通过将特制的 TCP 数据包发送到 TCP 端口 9075 的本地接口上配置的 IP 地址来利用此破绽。”
几周前,思科对其小型企业路由器中的多达 44 个破绽进行了修改,这些缺点可能容许未经身份验证的近程攻击者作为根用户执行任意代码,甚至导致拒绝服务。