Cisco為交換機、防火墻解開26個安全補丁

admin

思科正在修補Nexus3000、3500、7000、9000交換機和FirePower4100系列下一代防火墻和FirePower9300安全設(shè)備的軟件漏洞。

Cisco已經(jīng)捆綁了25個安全建議，描述了Cisco NX-OS交換機和FirePower FXOS防火墻軟件中的26個漏洞。
盡管26個警報描述了安全影響評級為“高”的漏洞，但大多數(shù)（23個）都會影響Cisco NX-OS軟件，其余三個都涉及這兩個軟件包。
Cisco說，這些漏洞跨越了許多問題，這些問題會讓攻擊者獲得未經(jīng)授權(quán)的訪問、獲得提升的權(quán)限、執(zhí)行任意命令、逃離受限制的外殼、繞過系統(tǒng)映像驗證檢查或?qū)е戮芙^服務(wù)（DoS）情況。
該公司表示，該公司已經(jīng)發(fā)布了針對所有漏洞的軟件修復(fù)程序，并且沒有任何問題影響到Cisco iOS軟件或Cisco iOS XE軟件。
有關(guān)哪些Cisco FXOS軟件和Cisco NX-OS軟件版本易受攻擊以及如何處理的信息，請參閱咨詢的“固定軟件”部分。
LDAP實現(xiàn)漏洞
在Cisco FXOS和Cisco NX-OS軟件中，輕量級目錄訪問協(xié)議（LDAP）功能的實現(xiàn)中發(fā)現(xiàn)了最嚴重的漏洞（常見的漏洞評分系統(tǒng)評級為8.6/10）。Cisco表示，該問題可能會讓未經(jīng)身份驗證的遠程攻擊者導(dǎo)致受影響的設(shè)備重新加載，從而導(dǎo)致拒絕服務(wù)（DoS）情況。
“這些漏洞是由于受影響的設(shè)備對LDAP數(shù)據(jù)包的分析不當(dāng)造成的。攻擊者可以通過向受影響的設(shè)備發(fā)送使用基本編碼規(guī)則（BER）編寫的LDAP包來利用這些漏洞，”Cisco寫道。“LDAP數(shù)據(jù)包必須具有在目標(biāo)設(shè)備上配置的LDAP服務(wù)器的源IP地址。”
從FirePower 4100系列下一代防火墻和FirePower 9300安全設(shè)備到MDS 9000系列多層交換機、Nexus 3000、3500、7000、9000系列交換機和UCS 6200、6300系列結(jié)構(gòu)互連，該漏洞會影響許多產(chǎn)品。
四分法分析漏洞
另一個排名很高的漏洞是，在獨立NX-OS模式下，用于Nexus 9000系列交換機的Cisco Tetration Analytics代理中，該代理允許經(jīng)過身份驗證的本地攻擊者執(zhí)行任意根代碼。攻擊者可以通過用惡意代碼替換有效的代理文件來利用此漏洞。思科在公告中說，成功的攻擊可能導(dǎo)致攻擊者提供的代碼被執(zhí)行。該漏洞是由于錯誤的權(quán)限設(shè)置造成的。
Cisco Tetration分析系統(tǒng)從硬件和軟件傳感器收集信息，并使用大數(shù)據(jù)分析和機器學(xué)習(xí)分析信息，為IT經(jīng)理提供對其數(shù)據(jù)中心資源的更深入了解。Tetration背后的理念包括顯著改進企業(yè)安全監(jiān)控、簡化操作可靠性的能力。
Nexus軟件中的幾個漏洞可能會讓攻擊者在交換機上獲得提升的權(quán)限并執(zhí)行惡意命令。
思科寫道，第一個弱點是用戶帳戶及其相關(guān)組ID的授權(quán)檢查不正確。“攻擊者可以利用邏輯錯誤來利用此漏洞，該邏輯錯誤允許使用比必要分配的權(quán)限更高的命令。成功利用此漏洞，攻擊者可以在受影響設(shè)備的基礎(chǔ)Linux shell上以提升的權(quán)限執(zhí)行命令。”
該問題影響到Nexus 3000、3500、7000、7700、9000和系列交換機以及Nexus 9500 R系列線路卡和結(jié)構(gòu)模塊。
第二次曝光是由于授權(quán)執(zhí)行不充分。攻擊者可以通過對目標(biāo)設(shè)備進行身份驗證并執(zhí)行可能導(dǎo)致特權(quán)提升的命令來利用此漏洞。成功利用此漏洞可能允許攻擊者以管理員身份對系統(tǒng)進行配置更改。
該問題影響Nexus 3000、3500、3600、9000和Nexus 9500 R系列線卡和結(jié)構(gòu)。
保護POAP設(shè)置工具的警告
思科還發(fā)布了一個信息咨詢思科Nexus交換機使用自動供應(yīng)或零觸摸部署功能稱為Poweron自動供應(yīng)（POAP）。
思科表示，該功能有助于實現(xiàn)Nexus交換機的初始部署和配置的自動化，而POAP功能在應(yīng)用配置后會自行禁用。但思科表示，正確保護使用POAP的網(wǎng)絡(luò)至關(guān)重要。
Cisco表示：“一些客戶可能希望禁用POAP功能，并使用其他方法來配置開箱即用的Nexus設(shè)備�！�
為此，Cisco寫道，它添加了多個新命令來禁用POAP，這些命令將在重置為出廠默認值和刪除配置過程中持續(xù)存在。有關(guān)保護POAP環(huán)境的指南以及有關(guān)禁用該功能的信息，請參閱詳細信息和建議部分。