思科今日发布了其IOS XE操作体系的更新,以修补一个要害缝隙,该缝隙或许答应长途攻击者绕过运转过期版虚拟服务容器的设备上的身份验证。
虚拟服务容器用于在阻隔环境中运转进程。它们作为敞开虚拟应用程序(OVA)包供给,能够运转用于各种意图的应用程序。
管理员能够为机器装备毛病扫除东西,完成常见络功用或剖析和监控的东西。常见的用处是扩展主机络的功用。
以下产品受此安全缝隙影响:
Cisco 4000系列集成多事务路由器
Cisco ASR 1000系列聚合服务路由器
思科云服务路由器1000V系列
思科集成服务虚拟路由器
假如经过简略地向方针设备发送歹意HTTP恳求来满意特定条件,则能够进行运用。假如管理员进入REST API接口,则攻击者能够获得其“令牌ID”并运用提高的权限运转指令。
除了管理员进行身份验证之外,方针设备还需要启用易受攻击版别的Cisco REST API虚拟服务容器。
络管理员应装置REST API虚拟设备容器的版别16.09.03(“iosxe-remote-mgmt.16.09.03.ova”),该版别修补了身份验证绕过过错。为了进一步维护客户,思科发布了IOS XE软件的强化版别,该软件不答应装置或激活易受攻击的容器设备。
“假如设备已装备了活动易受攻击的容器,则IOS XE软件晋级将停用容器,使设备不易受攻击。在这种情况下,要康复REST API功用,客户应晋级Cisco REST API虚拟服务容器一个固定的软件版别。“ – 思科
该公司在该缝隙的安全公告中表明,没有可用的解决方法。思科的产品安全事情呼应小组(PSIRT)未发现此缝隙正在被运用。
除此通报外,该公司还针对影响一致核算体系(UCS)结构互连,FXOS,NX-OS和Nexus 9000系列光纤交换机的其他九个中高档别问题发布了安全公告。